研究者は、ダークウェブ上で匿名化されたランサムウェアサイトを発見するための技術を共有しています from thehackernews.com

「ほとんどのランサムウェア事業者は、出身国以外のホスティングプロバイダー（スウェーデン、ドイツ、シンガポールなど）を使用して、ランサムウェア運用サイトをホストしています」とCiscoTalosの研究者であるPaulEubanks氏は述べています。
「VPSホップポイントをプロキシとして使用して、リモート管理タスクのためにランサムウェアWebインフラストラクチャに接続するときに実際の場所を隠します。」
しかし、サイバーセキュリティ会社は先週、攻撃者の運用上のセキュリティミスステップやその他の手法を利用して、パブリックIPアドレスでホストされているTOR隠しサービスを特定できたことを明らかにしました。
今年初めに登場し、Karmaと実質的なコード類似性を共有する新しいWindowsランサムウェア株であるNokoyawaの場合、TOR隠しサービスでホストされているサイトには、ディレクトリトラバーサルの欠陥があり、研究者が「/var」にアクセスできることがわかりました。
調査結果は、インターネット上のすべてのユーザーが犯罪者の漏洩サイトにアクセスできるだけでなく、サーバーデータの識別を含む他のインフラストラクチャコンポーネントが公開されたままであり、ランサムウェアサーバーの管理に使用されるログイン場所を効果的に取得できることを示しています。
「オペレーターがドイツ語ベースのVPSを難読化に使用するのを忘れて、176.119.0[。]195の実際の場所からこのWebサーバーとのセッションに直接ログインした可能性があります。」