Pesquisadores de segurança cibernética detalharam as várias medidas que os agentes de ransomware tomaram para ocultar sua verdadeira identidade online, bem como o local de hospedagem de sua infraestrutura de servidor web.

“A maioria dos operadores de ransomware usa provedores de hospedagem fora de seu país de origem para hospedar seus sites de operações de ransomware”, disse o pesquisador da Cisco Talos, Paul Eubanks.

“Eles usam hop-points VPS como um proxy para ocultar sua verdadeira localização quando se conectam à infraestrutura Web de ransomware para tarefas de administração remota.”

Também são proeminentes o uso da rede TOR e serviços de registro de proxy DNS para fornecer uma camada adicional de anonimato para suas operações ilegais.

Mas, aproveitando os erros de segurança operacional dos agentes de ameaças e outras técnicas, a empresa de segurança cibernética divulgou na semana passada que conseguiu identificar serviços ocultos TOR hospedados em endereços IP públicos, alguns dos quais são infraestruturas anteriormente desconhecidas associadas a DarkAngels , Snatch , grupos de ransomware Quantum e Nokoyawa.