Cybercriminelen zijn steeds vaker te vinden op zogeheten Darknet-netwerken, en dan met name op een Tor-netwerk. Het Tor-netwerk is reeds lange tijd een bekend fenomeen. In het begin alleen onder experts en enthousiastelingen die geïnteresseerd waren in de technische details van praktische anonimiteit in het netwerk en fans van cryptografie. Na de onthullingen van Edward Snowden kwam het echter ook onder de aandacht van het grote publiek. Veel internetgebruikers gingen op zoek naar deze vorm van anonimiteit, wat resulteerde in een toename van de gebruikers van Tor. Hoewel de Tor-infrastructuur en cybercriminaliteits-resources nog lang niet van dezelfde schaal zijn als het conventionele internet, troffen experts van Kaspersky Lab ongeveer 900 gelijktijdige online verborgen diensten aan.
Tor bestaat voornamelijk uit onbeperkte, gratis software die via internet werkt. Het omvat gebruikers die websites bezoeken, berichten uitwisselen op forums, communiceren via chats, etc. – net als het ‘normale’ internet. Maar er is een cruciaal verschil. Tor is uniek omdat de gebruikers ervan anoniem kunnen blijven tijdens hun online activiteiten. Het netwerkverkeer is volledig anoniem: het is in Tor onmogelijk om IP’s van gebruikers te identificeren, zodat het ook onmogelijk is om te achterhalen wie de gebruiker in werkelijkheid is. Bovendien maakt dit Darknet-netwerk gebruik van zogenoemde pseudo-domeinen, die alle inspanningen dwarsbomen om achter persoonlijke informatie van de eigenaar van een resource te komen.
Cybercriminelen zijn Tor actief gaan gebruiken om kwaadaardige infrastructuur te hosten. Experts van Kaspersky Lab troffen Zeus met Tor-mogelijkheden aan, detecteerden vervolgens ChewBacca en analyseerden ten slotte de eerste Tor-trojan voor Android. Een snelle blik op het Tor-netwerk laat veel resources zien voor malware, zoals C&C-servers, admin-panelen, etc.
“Het hosten van C&C-servers in Tor maakt het moeilijker deze te identificeren, te blacklisten of te verwijderen. Hoewel het creëren van een Tor-communicatiemodule binnen een malware-sample extra werk betekent voor de malware-ontwikkelaars, verwachten we een toename te zien van nieuwe Tor-gebaseerde malware, evenals Tor-ondersteuning voor bestaande malware”, aldus Sergey Lozhkin, Senior Security Researcher van Kaspersky Labs Global Research and Analysis Team.
