¿Cómo se conecta el ransomware a la red profunda de Tor?

El software malicioso que necesita acceder a un sitio web en la red Tor a menudo emplea un servicio Tor2web .

Estos servicios gratuitos le permiten conectarse a un sitio de cebolla con su navegador habitual. Proporcionan una puerta de enlace a la red Tor a través de HTTP o HTTPS y se conectan a Tor ellos mismos. De esta manera, el malware no tiene que venir con un cliente Tor en toda regla.

Uno de los dominios Tor2web más populares es onion.to . Básicamente, puede agregar la extensión .to a casi cualquier enlace de cebolla para acceder a ella desde clearnet. Por ejemplo, se puede acceder al The Wiki oculto de esta manera:

https://zqktlwi4fecvo6ri.onion.to/wiki/index.php/Main_Page

Aunque Tor2web es sencillo, también hay casos en que el ransomware solicita a las víctimas que descarguen el navegador Tor manualmente y algunos programas maliciosos utilizan los componentes Tor reales para ocultar su comunicación de C & C:

  

El malware puede usar Tor tan fácilmente como cualquier otra persona. En la segunda mitad de 2013, vimos que más malware lo utilizaba para ocultar el tráfico de su red. En septiembre, publicamos un blog sobre el malware Mevade que descargó un componente Tor para la comunicación de comando y control (C & C). En octubre de 2013, la policía holandesa arrestó a cuatro personas detrás del malware TorRAT, una familia de malware que también usaba Tor para su comunicación C & C. [...]

     

En las últimas semanas de 2013, vimos algunas variantes de ransomware que se llamaban a sí mismas Cryptorbit y le pedían explícitamente a la víctima que usara el Navegador Tor (un paquete del navegador preconfigurado para Tor) al pagar el rescate.

(Source)