قام باحثو الأمن السيبراني بتفصيل الإجراءات المختلفة التي اتخذها فاعلو برامج الفدية لإخفاء هويتهم الحقيقية عبر الإنترنت بالإضافة إلى موقع استضافة البنية التحتية لخادم الويب الخاص بهم.

قال Paul Eubanks الباحث في شركة سيسكو تالوس: "يستخدم معظم مشغلي برامج الفدية مزودي خدمة استضافة خارج بلدهم الأصلي (مثل السويد وألمانيا وسنغافورة) لاستضافة مواقع عمليات برامج الفدية الخاصة بهم". "يستخدمون VPS hop-points كوكيل لإخفاء موقعهم الحقيقي عند الاتصال بالبنية التحتية لبرامج الفدية على الويب لمهام الإدارة عن بُعد."

ومن الأمور البارزة أيضًا استخدام شبكة TOR وخدمات تسجيل بروكسي DNS لتوفير طبقة إضافية من إخفاء الهوية لعملياتهم غير القانونية.

ولكن من خلال الاستفادة من الثغرات الأمنية التشغيلية للجهات الفاعلة في التهديد وغيرها من التقنيات، كشفت شركة الأمن السيبراني الأسبوع الماضي أنها تمكنت من تحديد خدمات TOR المخفية المستضافة على عناوين IP العامة، وبعضها عبارة عن بنية تحتية غير معروفة سابقًا مرتبطة بـ DarkAngels  Snatch، مجموعات Quantum و Nokoyawa ransomware.

بينما من المعروف أن مجموعات برامج الفدية تعتمد على الويب المظلم لإخفاء أنشطتها غير المشروعة التي تتراوح من تسريب البيانات المسروقة إلى التفاوض بشأن المدفوعات مع الضحايا، كشفت Talos أنها تمكنت من تحديد "عناوين IP العامة التي تستضيف نفس البنية التحتية لممثلي التهديد مثل تلك الموجودة في الويب المظلم. "

قال Eubanks: "الأساليب التي استخدمناها لتحديد عناوين IP العامة للإنترنت تضمنت مطابقة الأرقام التسلسلية لشهادة TLS وعناصر الصفحة مع تلك المفهرسة على الإنترنت العام".

إلى جانب مطابقة شهادة TLS، فإن الطريقة الثانية المستخدمة للكشف عن البنى التحتية الواضحة للخصوم على شبكة الإنترنت تضمنت التحقق من الرموز المفضلة المرتبطة بمواقع الويب المظلم مقابل الإنترنت العام باستخدام برامج مثل Shodan.