Nitro Ransomware
Zaobserwowano już, że kilka rodzin ransomware używa webhooków Discord do komunikacji i eksfiltracji danych z zainfekowanych systemów. Jednak cyberprzestępcy stojący za Nitro Ransomware poszli o krok dalej, ponieważ zamiast zwykłego okupu płaconego w jednej z popularnych kryptowalut żądają od swoich ofiar płatności kartami podarunkowymi Discord Nitro.
Discord to jedna z najpopularniejszych platform społecznościowych wśród użytkowników komputerów. Począwszy od usługi VoIP (Voice over IP) przeznaczonej dla odtwarzaczy PC, aplikacja rozwinęła się od tego czasu do pełnoprawnej platformy, która umożliwia użytkownikom wysyłanie wiadomości, prowadzenie rozmów audio i wideo, wysyłanie plików i komunikację za pośrednictwem prywatnych czatów lub społeczności zwane serwerami. Oprócz bezpłatnego poziomu Discord oferuje płatne subskrypcje na uaktualnienie `` Nitro '' w cenie 9,99 USD. Za te ceny użytkownicy otrzymują zwiększony limit przesyłanych plików, strumieniowe przesyłanie wideo HD, dodatkowe emoji oraz opcję promowania serwerów. Operatorzy NitroRansomware koncentrują się dokładnie na tych subskrypcjach Nitro.
Statyczny klucz odszyfrowywania i kody upominkowe Discord
Nitro Ransomware jest rozpowszechniane pod postacią narzędzia programowego, które przypuszczalnie jest w stanie generować darmowe kody podarunkowe Nitro. Użytkownicy, którzy chcą uzyskać takie kody w nielegalny sposób, są zamiast tego zainfekowani zagrożeniem ze strony złośliwego oprogramowania. Pliki na zaatakowanych komputerach zostaną następnie zablokowane za pomocą procedury szyfrowania. Każdy plik, którego dotyczy problem, będzie miał „.givemenitro” dołączone do nazwy jako nowe rozszerzenie. Po zakończeniu procesu szyfrowania Nitro Ransomware zmieni domyślną tapetę systemu na obraz zmodyfikowanego logo Discord i wyświetli żądanie okupu w wyskakującym okienku.
Zgodnie z instrukcją użytkownicy mają 3 godziny na podanie w odpowiednim polu ważnego kodu podarunkowego Discord Nitro w celu odszyfrowania plików. Jeśli czas minie, hakerzy grożą, że wszystkie zaszyfrowane dane zostaną usunięte i utracone na zawsze. Jest to jednak tylko puste zagrożenie, ponieważ analiza kodu źródłowego ujawniła, że żadne pliki nie zostaną usunięte po upływie czasu. Ponadto Nitro Ransomware wykorzystuje wbudowany statyczny klucz odszyfrowywania, aby zwolnić pliki użytkownika, gdy zostanie dostarczony odpowiedni kod podarunkowy. Użycie kluczy statycznych oznacza, że można utworzyć potencjalny deszyfrator, aby użytkownicy mogli uzyskać swoje pliki za darmo, bez angażowania w ogóle hakerów.
Oprogramowanie Nitro Ransomware rozszerzyło groźną funkcjonalność
Nikczemne możliwości Nitro Ransomware wykraczają poza blokowanie plików. Zagrożenie może również działać jako backdoor, umożliwiając hakerom zdalne wykonywanie dowolnych poleceń w zaatakowanym systemie. Wszystkie wyniki można następnie przesłać do kanału Discord osoby atakującej za pośrednictwem webhooków. Nitro Ransomware może również zbierać tokeny Discord od swoich ofiar, które można następnie wykorzystać do włamania się do powiązanych serwerów Discord.
Oprócz próby odzyskania zaszyfrowanych plików, ofiary Nitro Ransomware są również zdecydowanie zachęcane do jak najszybszej zmiany haseł Discord. Innym środkiem zapobiegawczym mającym na celu powstrzymanie potencjalnych dalszych ataków jest przeskanowanie zainfekowanego systemu w poszukiwaniu dodatkowych ładunków złośliwego oprogramowania, które mogły zostać dostarczone. Na koniec sprawdź, czy nie ma nowych kont systemu Windows, które mogły zostać utworzone przez osoby atakujące, i natychmiast je usuń.
