Data Extraction from TOR-Based Ransomware Websites and Develop-ment of a Statistical Analysis Plat-form

Abstract

The increasing impact of cyberattacks, particularly ransomware incidents, poses a growing threat to individuals, organizations, and national infrastructure. The conventional threat intelligence often overlooks the information spread across darknet platforms. This thesis presents the design and development of a darknet web scraper aimed at extracting cyberattack-related content from cybercriminal webpages. The scraper focuses primarily on TOR-based hidden services, parsing textual content leak sites where threat actors post their attacks. In addition to data collection, a comprehensive statistics portal has been developed to store, query, and visualize the harvested information. The portal enables cybersecurity analysts and researchers to explore trends, frequencies, and correlations in ransomware attacks through graphical interfaces, facilitating data-driven assessments of the evolving cyber threat landscape. The methodology includes darknet crawling through the TOR network, structured data extraction, database design, and the use of a full stack architecture to query and generate analytical dashboards. Key challenges addressed include ensuring ethical data handling and mitigating scraping obstacles such as anti-bot mechanisms. Overall, this work seeks to bridge the gap between open-source intelligence and the hidden networks where much of the cyber threat landscape is actively evolving.

El incremento del impacto de ciberataques, particularmente de tipo ransomware, supone una amenaza cada vez mayor para personas, organizaciones e infraestructuras. La gestión de amenazas convencional a menudo pasa por alto la información que se difunde en plata-formas de la darknet. Este trabajo presenta el diseño y desarrollo de un sistema de web scraping orientado a la darknet, con el objetivo de extraer el contenido relacionado con ciberataques desde páginas pertenecientes a grupos de ciberdelincuencia. El scraper se centra principalmente en servicios ocultos basados en la red TOR, analizando contenido textual de webs de filtraciones donde los ciberdelincuentes publican sus ataques. Además de la recolección de datos, se ha desarrollado un portal estadístico para alma-cenar, consultar y visualizar la información recopilada. Este portal permite a analistas de ciberseguridad e investigadores explorar tendencias, frecuencias y correlaciones en ata-ques de ransomware mediante interfaces gráficas, facilitando así análisis fundamentados sobre la evolución del panorama de amenazas cibernéticas. La metodología incluye el rastreo de la darknet a través de la red TOR, la extracción estructurada de datos, el diseño de bases de datos y el uso de una arquitectura de desarrollo full stack para realizar consultas y generar paneles analíticos. Entre los principales desafíos abordados se encuentran el manejo ético de los datos y la mitigación de obstáculos como los mecanismos anti-bot. En términos generales, este trabajo busca cerrar la brecha entre la inteligencia de fuentes abiertas y las redes ocultas donde gran parte del panorama de amenazas cibernéticas está en constante evolución.