Nitro Ransomware
Er is al waargenomen dat verschillende ransomwarefamilies Discord-webhooks gebruiken voor communicatie en het exfiltreren van gegevens van gecompromitteerde systemen. De cybercriminelen achter de Nitro Ransomware zijn echter nog een stap verder gegaan, want in plaats van het gebruikelijke losgeld dat wordt betaald in een van de populaire cryptocurrencies, eisen ze van hun slachtoffers een betaling in Discord Nitro-cadeaubonnen.
Discord is een van de meest populaire sociale platforms onder computergebruikers. Begonnen als een VoIP-service (Voice over IP) voor pc-spelers, is de applicatie sindsdien uitgegroeid tot een volwaardig platform waarmee gebruikers berichten kunnen verzenden, audio- en videogesprekken kunnen voeren, bestanden kunnen verzenden en kunnen communiceren via privéchats of gemeenschappen genaamd servers. Naast zijn gratis niveau biedt Discord betaalde abonnementen voor de 'Nitro'-upgrade die $ 9,99 kost. Voor die prijzen krijgen gebruikers een uitgebreide limiet voor geüploade bestanden, HD-videostreaming, extra emoji's en de optie om servers te promoten. De NitroRansomware-operators richten zich precies op die Nitro-abonnementen.
Statische decoderingssleutel en Discord-cadeaucodes
De Nitro Ransomware wordt verspreid onder het mom van een softwaretool die zogenaamd in staat zou zijn om gratis Nitro-geschenkcodes te genereren. Gebruikers die dergelijke codes op ongeoorloofde wijze willen verkrijgen, worden in plaats daarvan geïnfecteerd met de malwarebedreiging. De bestanden op de gecompromitteerde computers worden vervolgens vergrendeld via een versleutelingsroutine. Aan elk getroffen bestand wordt '.givemenitro' toegevoegd als een nieuwe extensie. Nadat het coderingsproces is voltooid, zal de Nitro Ransomware de standaardachtergrond van het systeem wijzigen met een afbeelding van een gewijzigd Discord-logo en de losgeldbrief in een pop-upvenster weergeven.
Volgens de instructies hebben gebruikers 3 uur de tijd om een geldige Discord Nitro-cadeaucode in het daarvoor bestemde veld in te voeren om hun bestanden te decoderen. Als de tijd verstrijkt, dreigen de hackers dat alle gecodeerde gegevens worden verwijderd en voor altijd verloren gaan. Dit is echter slechts een loze dreiging, aangezien analyse van de onderliggende code heeft uitgewezen dat er geen bestanden worden verwijderd als de timer afloopt. Bovendien gebruikt de Nitro Ransomware een ingebouwde statische decoderingssleutel om de gebruikersbestanden vrij te maken wanneer een geschikte geschenkcode wordt verstrekt. Het gebruik van statische sleutels betekent dat er een potentiële decryptor kan worden gemaakt, zodat gebruikers hun bestanden gratis kunnen krijgen zonder de hackers in te schakelen.
De Nitro Ransomware heeft een bedreigende functionaliteit uitgebreid
De snode mogelijkheden van de Nitro Ransomware gaan verder dan het vergrendelen van bestanden. De dreiging kan ook fungeren als een achterdeur waardoor de hackers op afstand willekeurige commando's op het gecompromitteerde systeem kunnen uitvoeren. Alle resultaten kunnen vervolgens via webhooks naar het Discord-kanaal van de aanvaller worden gestuurd. De Nitro Ransomware kan ook Discord-tokens van zijn slachtoffers verzamelen die vervolgens kunnen worden gebruikt om de bijbehorende Discord-servers te doorbreken.
Afgezien van het proberen om hun gecodeerde bestanden te herstellen, worden slachtoffers van de Nitro Ransomware ook sterk aangemoedigd om hun Discord-wachtwoorden zo snel mogelijk te wijzigen. Een andere preventieve maatregel om mogelijke vervolgaanvallen te stoppen, is door het geïnfecteerde systeem te scannen op aanvullende malware-payloads die mogelijk zijn afgeleverd. Controleer ten slotte op nieuwe Windows-accounts die mogelijk door de aanvallers zijn gemaakt en verwijder deze onmiddellijk.
