Три метода Cisco Talos направлены на обнаружение сайтов вымогателей в дарквебе . Согласно блогу под названием «Деанонимизация доменов программ-вымогателей в дарквебе» , методы способны обеспечить дополнительную видимость темных веб-сайтов.
Старший инженер-исследователь угроз Cisco Talos Пол Юбэнкс поделился способами, которые использует Cisco Talos для раскрытия преступных доменов:
Первый метод сопоставляет серийный номер TLS-сертификата киберпреступника с номером, проиндексированным в общедоступном Интернете;
Второй способ проверяет соответствие фавикона браузера в даркнете с общедоступным веб-сайтом;
Третий метод использует «катастрофические ошибки безопасности» и неправильные конфигурации, снижающие анонимность.
По словам Юбэнкса, «методы сами по себе не новые, но ранее они не применялись для раскрытия доменов программ-вымогателей». Юбенкс добавил, что сайты вымогателей часто не используют TLS-сертификаты, поскольку их можно использовать для идентификации. Однако, киберпреступник может поддерживать сертификат на своем даквеб-сайте, «чтобы создать у своих жертв иллюзию безопасности и легитимности».
Источник: SecurityLab