Hog Ransomware

Een eigenaardige malwarebedreiging genaamd Hog Ransomware is ontdekt door infosec-onderzoekers. De Hog Ransomware vereist dat gebruikers lid worden van een specifieke Discord-server om hun vergrendelde bestanden te decoderen. De Hog Ransomware draagt tekenen dat het zich nog in de vroege stadia van ontwikkeling bevindt.

Wanneer uitgevoerd op een computer, zal de Hod Ransomware een coderingsroutine implementeren die het AES-256 cryptografische algoritme gebruikt om de bestanden die daar zijn opgeslagen te vergrendelen. Aan elk getroffen bestand wordt '.hog' toegevoegd aan de oorspronkelijke bestandsnaam. Onmiddellijk na het voltooien van het coderingsproces, zal de Hog Ransomware zijn decoderingscomponent uitpakken en uitvoeren door een bestand met de naam 'DECRYPT-MY-FILES.exe' te starten dat zich in de opstartmap van Windows bevindt.

De decryptor zal de getroffen gebruikers uitleggen dat ze zich moeten aansluiten bij de Discord-server van de hackers en vervolgens in het daarvoor bestemde veld hun Discord-gebruikerstoken moeten invoeren. Door het token te analyseren, kan de Hog Ransomware bepalen of het slachtoffer echt lid is geworden van de gevraagde server. Als de controle positief is of de server niet bestaat, zal het decoderingsprogramma de vergrendelde bestanden herstellen door een statische sleutel te gebruiken die in de ransomware zelf is ingesloten.

Het lijkt erop dat meer cybercriminelen het Discord-platform beginnen te misbruiken als onderdeel van hun bedreigende operaties. Een andere recent ontdekte ransomware genaamd Humble is ontworpen om Webhooks te gebruiken om details over de geïnfecteerde computers naar de Discord-server van de aanvaller te sturen.