Nitro Ransomware

Flere ransomwarefamilier er allerede blevet observeret, at de bruger Discord webhooks til kommunikation og exfiltrere data fra kompromitterede systemer. Imidlertid har cyberkriminelle bag Nitro Ransomware taget det et skridt videre, da i stedet for den sædvanlige løsesum, der betales i en af de populære kryptokurver, de kræver af deres ofre en betaling i Discord Nitro-gavekort.

Discord er en af de mest populære sociale platforme blandt computerbrugere. Startende som en VoIP (Voice over IP) -tjeneste, der henvender sig til pc-afspillere, er applikationen siden da blevet udvidet til en fuldgyldig platform, der giver brugerne mulighed for at sende beskeder, gennemføre lyd- og videoopkald, sende filer og kommunikere gennem enten private chats samfund kaldet servere. Oven på det gratis niveau tilbyder Discord betalte abonnementer til 'Nitro' opgraderingen til en pris af $ 9,99. For disse priser får brugerne en udvidet grænse for uploadede filer, HD-videostreaming, yderligere emojier og muligheden for at promovere servere. NitroRansomware-operatørerne fokuserer nøjagtigt på disse Nitro-abonnementer.

Statisk dekrypteringsnøgle og Discord-gavekoder

Nitro Ransomware distribueres under dække af et softwareværktøj, der angiveligt er i stand til at generere gratis Nitro-gavekoder. Brugere, der ønsker at få sådanne koder på ulovlige måder, er i stedet inficeret med malware-truslen. Filerne på de kompromitterede computere låses derefter gennem en krypteringsrutine. Hver berørt fil vil have '.givemenitro' vedhæftet sit navn som en ny udvidelse. Når krypteringsprocessen er afsluttet, ændrer Nitro Ransomware systemets standardbaggrund med et billede af et ændret Discord-logo og viser dets løsesumnote i et pop op-vindue.

Ifølge instruktionerne har brugerne 3 timer til at give en gyldig Discord Nitro-gavekode i det relevante felt til at dekryptere deres filer. Hvis tiden udløber, truer hackerne med, at alle de krypterede data vil blive slettet og mistet for evigt. Dette er dog kun en tom trussel, da analyse af den underliggende kode har afsløret, at ingen filer slettes, når timeren løber tør. Desuden bruger Nitro Ransomware en indlejret statisk dekrypteringsnøgle til at frigøre brugerfilerne, når der gives en passende gavekode. Brug af statiske nøgler betyder, at der kan oprettes en potentiel decryptor, så brugerne kan få deres filer gratis uden at engagere sig med hackerne overhovedet.

Nitro Ransomware har udvidet en truende Funktionalitet

Nitro Ransomware's uhyggelige kapaciteter går ud over låsning af filer. Truslen kan også fungere som en bagdør, der gør det muligt for hackere at udføre vilkårlige kommandoer på det kompromitterede system eksternt. Alle resultater kan derefter sendes til angriberens Discord-kanal via webhooks. Nitro Ransomware kan også samle Discord-tokens fra dets ofre, som derefter kan bruges til at bryde de tilknyttede Discord-servere.

Bortset fra at forsøge at gendanne deres krypterede filer, opfordres ofre for Nitro Ransomware også stærkt til at ændre deres Discord-adgangskoder så hurtigt som muligt. En anden forebyggende foranstaltning til at stoppe eventuelle potentielle opfølgningsangreb er at scanne det inficerede system for yderligere malware-nyttelast, der muligvis er leveret. Endelig skal du kontrollere, om der er nye Windows-konti, der muligvis er oprettet af angriberne, og slette dem med det samme.