Nitro Ransomware

Flera ransomware-familjer har redan observerats använda Discord-webbhooks för kommunikation och exfiltrera data från komprometterade system. Dock har cyberbrottslingarna bakom Nitro Ransomware tagit det ett steg längre, eftersom de i stället för den vanliga lösen som betalas i en av de populära kryptovalutorna kräver av sina offer en betalning i Discord Nitro-presentkort.

Discord är en av de mest populära sociala plattformarna bland datoranvändare. Från och med en VoIP-tjänst (Voice over IP) för PC-spelare har applikationen sedan dess utvidgats till en fullfjädrad plattform som gör det möjligt för användare att skicka meddelanden, genomföra ljud- och videosamtal, skicka filer och kommunicera antingen via privata chattar eller samhällen som kallas servrar. Utöver sitt kostnadsfria nivå erbjuder Discord betalda prenumerationer för uppgraderingen 'Nitro' till ett pris av 9,99 USD. För de priserna får användarna en utökad gräns för uppladdade filer, HD-videostreaming, ytterligare emojis och möjligheten att marknadsföra servrar. NitroRansomware-operatörerna fokuserar exakt på dessa Nitro-prenumerationer.

Statisk dekrypteringsnyckel och Discord-presentkoder

Nitro Ransomware distribueras under sken av ett programverktyg som förmodligen kan generera gratis Nitro-presentkoder. Användare som vill erhålla sådana koder på olagliga sätt smittas istället av skadlig kod. Filerna på de komprometterade datorerna låses sedan genom en krypteringsrutin. Varje påverkad fil kommer att ha ".givemenitro" bifogat sitt namn som ett nytt tillägg. När krypteringsprocessen har slutförts ändrar Nitro Ransomware systemets standardbakgrund med en bild av en modifierad Discord-logotyp och visar lösenanteckningen i ett popup-fönster.

Enligt instruktionerna har användare 3 timmar på sig att tillhandahålla en giltig Discord Nitro-presentkod i lämpligt fält för att dekryptera sina filer. Om tiden löper ut hotar hackarna att all krypterad data kommer att raderas och förloras för alltid. Detta är dock bara ett tomt hot eftersom analys av den underliggande koden har visat att inga filer kommer att raderas när timern tar slut. Dessutom använder Nitro Ransomware en inbäddad statisk dekrypteringsnyckel för att frigöra användarfilerna när en lämplig presentkod tillhandahålls. Användningen av statiska nycklar innebär att en potentiell avkrypterare kan skapas så att användare kan få sina filer gratis utan att alls ha kontakt med hackarna.

Nitro Ransomware har expanderat en hotande Funktionalitet

Nitro Ransomwares onödiga funktioner går utöver fillåsning. Hotet kan också fungera som en bakdörr som gör att hackarna kan utföra godtyckliga kommandon på det komprometterade systemet på distans. Alla resultat kan sedan skickas till angriparens Discord-kanal via webhooks. Nitro Ransomware kan också samla in Discord-tokens från sina offer som sedan kan användas för att bryta mot tillhörande Discord-servrar.

Förutom att försöka återställa sina krypterade filer, uppmuntras också offer för Nitro Ransomware att ändra sina Discord-lösenord så snart som möjligt. En annan förebyggande åtgärd för att stoppa eventuella uppföljningsattacker är att skanna det infekterade systemet för ytterligare skadliga nyttolast som kan ha levererats. Slutligen, leta efter nya Windows-konton som kan ha skapats av angriparna och ta bort dem omedelbart.