Nitro Ransomware

On a déjà observé que plusieurs familles de ransomwares utilisaient les webhooks Discord pour communiquer et exfiltrer les données des systèmes compromis. Cependant, les cybercriminels derrière le Nitro Ransomware sont allés plus loin, car au lieu de la rançon habituelle payée dans l'une des crypto-monnaies populaires, ils exigent de leurs victimes un paiement en cartes-cadeaux Discord Nitro.

Discord est l'une des plateformes sociales les plus populaires parmi les utilisateurs d'ordinateurs. Commençant comme un service VoIP (Voice over IP) destiné aux joueurs PC, l'application s'est depuis développée en une plate-forme à part entière qui permet aux utilisateurs d'envoyer des messages, de passer des appels audio et vidéo, d'envoyer des fichiers et de communiquer via des chats privés ou communautés appelées serveurs. En plus de son niveau gratuit, Discord propose des abonnements payants pour la mise à niveau `` Nitro '' au prix de 9,99 $. Pour ces prix, les utilisateurs bénéficient d'une limite étendue sur les fichiers téléchargés, le streaming vidéo HD, les emojis supplémentaires et la possibilité de promouvoir les serveurs. Les opérateurs NitroRansomware se concentrent exactement sur ces abonnements Nitro.

Clé de décryptage statique et codes cadeaux Discord

Le Nitro Ransomware est distribué sous le couvert d'un outil logiciel qui est censé être capable de générer des codes cadeaux Nitro gratuits. Les utilisateurs qui souhaitent obtenir de tels codes par des moyens illicites sont à la place infectés par la menace du logiciel malveillant. Les fichiers sur les ordinateurs compromis seront alors verrouillés via une routine de cryptage. Chaque fichier affecté aura «.givemenitro» ajouté à son nom en tant que nouvelle extension. Une fois le processus de cryptage terminé, le Nitro Ransomware changera le fond d'écran par défaut du système avec une image d'un logo Discord modifié et affichera sa note de rançon dans une fenêtre contextuelle.

Selon les instructions, les utilisateurs ont 3 heures pour fournir un code cadeau Discord Nitro valide dans le champ approprié pour décrypter leurs fichiers. Si le délai expire, les pirates informatiques menacent que toutes les données cryptées soient supprimées et perdues à jamais. Cependant, il ne s'agit que d'une menace vide, car l'analyse du code sous-jacent a révélé qu'aucun fichier ne sera supprimé lorsque le minuteur sera épuisé. De plus, Nitro Ransomware utilise une clé de déchiffrement statique intégrée pour libérer les fichiers utilisateur chaque fois qu'un code cadeau approprié est fourni. L'utilisation de clés statiques signifie qu'un déchiffreur potentiel pourrait être créé afin que les utilisateurs puissent obtenir leurs fichiers gratuitement sans s'engager du tout avec les pirates.

Le Nitro Ransomware a étendu une fonctionnalité menaçante

Les capacités néfastes du Nitro Ransomware vont au-delà du verrouillage de fichiers. La menace peut également agir comme une porte dérobée permettant aux pirates d'exécuter à distance des commandes arbitraires sur le système compromis. Tous les résultats peuvent ensuite être envoyés au canal Discord de l'attaquant via des webhooks. Le Nitro Ransomware peut également collecter des jetons Discord auprès de ses victimes qui peuvent ensuite être utilisés pour violer les serveurs Discord associés.

En plus d'essayer de récupérer leurs fichiers cryptés, les victimes du Nitro Ransomware sont également fortement encouragées à changer leurs mots de passe Discord dès que possible. Une autre mesure préventive pour arrêter toute attaque de suivi potentielle consiste à analyser le système infecté pour rechercher des charges utiles de logiciels malveillants supplémentaires qui auraient pu être transmises. Enfin, recherchez tous les nouveaux comptes Windows qui auraient pu être créés par les attaquants et supprimez-les immédiatement.