Nitro Ransomware

È già stato osservato che diverse famiglie di ransomware utilizzano webhook Discord per la comunicazione e l'esfiltrazione di dati da sistemi compromessi. Tuttavia, i criminali informatici dietro il Nitro Ransomware hanno fatto un ulteriore passo avanti, poiché invece del solito riscatto pagato in una delle famose criptovalute chiedono alle loro vittime un pagamento in carte regalo Discord Nitro.

Discord è una delle piattaforme social più popolari tra gli utenti di computer. Iniziando come un servizio VoIP (Voice over IP) rivolto ai giocatori di PC, l'applicazione si è espansa da allora in una piattaforma completa che consente agli utenti di inviare messaggi, condurre chiamate audio e video, inviare file e comunicare tramite chat private comunità chiamate server. Oltre al suo livello gratuito, Discord offre abbonamenti a pagamento per l'aggiornamento "Nitro" al prezzo di $ 9,99. Per quei prezzi, gli utenti ottengono un limite esteso sui file caricati, streaming video HD, emoji aggiuntivi e l'opzione per promuovere i server. Gli operatori di NitroRansomware si stanno concentrando esattamente su quegli abbonamenti Nitro.

Chiave di decrittazione statica e codici regalo Discord

Il Nitro Ransomware viene distribuito sotto le spoglie di uno strumento software che è presumibilmente in grado di generare codici regalo Nitro gratuiti. Gli utenti che desiderano ottenere tali codici attraverso mezzi illeciti vengono invece infettati dalla minaccia malware. I file sui computer compromessi verranno quindi bloccati tramite una routine di crittografia. Ogni file interessato avrà ".givemenitro" aggiunto al nome come nuova estensione. Dopo che il processo di crittografia è stato completato, Nitro Ransomware cambierà lo sfondo predefinito del sistema con un'immagine di un logo Discord modificato e visualizzerà la sua richiesta di riscatto in una finestra pop-up.

Secondo le istruzioni, gli utenti hanno 3 ore per fornire un codice regalo Discord Nitro valido nel campo appropriato per decrittografare i propri file. Se il tempo scade, gli hacker minacciano che tutti i dati crittografati verranno eliminati e persi per sempre. Questa, tuttavia, è solo una minaccia vuota poiché l'analisi del codice sottostante ha rivelato che nessun file verrà eliminato allo scadere del tempo. Inoltre, Nitro Ransomware utilizza una chiave di decrittazione statica incorporata per liberare i file dell'utente ogni volta che viene fornito un codice regalo appropriato. L'uso di chiavi statiche significa che è possibile creare un potenziale decryptor in modo che gli utenti possano ottenere i propri file gratuitamente senza interagire con gli hacker.

Il ransomware Nitro ha ampliato una funzionalità minacciosa

Le nefaste capacità di Nitro Ransomware vanno oltre il blocco dei file. La minaccia può anche fungere da backdoor consentendo agli hacker di eseguire comandi arbitrari sul sistema compromesso da remoto. Tutti i risultati possono quindi essere inviati al canale Discord dell'attaccante tramite webhook. Nitro Ransomware può anche raccogliere token Discord dalle sue vittime che possono quindi essere utilizzati per violare i server Discord associati.

Oltre a cercare di recuperare i propri file crittografati, le vittime di Nitro Ransomware sono anche fortemente incoraggiate a cambiare le loro password Discord il prima possibile. Un'altra misura preventiva per fermare qualsiasi potenziale attacco di follow-up è la scansione del sistema infetto per ulteriori payload di malware che potrebbero essere stati consegnati. Infine, controlla eventuali nuovi account Windows che potrebbero essere stati creati dagli aggressori ed eliminali immediatamente.