Nitro Ransomware
Es wurde bereits beobachtet, dass mehrere Ransomware-Familien Discord-Webhooks für die Kommunikation verwenden und Daten aus kompromittierten Systemen herausfiltern. Die Cyberkriminellen hinter der Nitro Ransomware sind jedoch noch einen Schritt weiter gegangen, da sie anstelle des üblichen Lösegelds, das in einer der beliebten Kryptowährungen gezahlt wird, von ihren Opfern eine Zahlung in Discord Nitro-Geschenkkarten verlangen.
Discord ist eine der beliebtesten sozialen Plattformen unter Computerbenutzern. Ausgehend von einem VoIP-Dienst (Voice over IP) für PC-Spieler hat sich die Anwendung seitdem zu einer vollwertigen Plattform entwickelt, auf der Benutzer Nachrichten senden, Audio- und Videoanrufe tätigen, Dateien senden und entweder über private Chats oder kommunizieren können Communities, die als Server bezeichnet werden. Zusätzlich zu seiner kostenlosen Stufe bietet Discord kostenpflichtige Abonnements für das 'Nitro'-Upgrade zum Preis von 9,99 US-Dollar an. Für diese Preise erhalten Benutzer ein erweitertes Limit für hochgeladene Dateien, HD-Video-Streaming, zusätzliche Emojis und die Option, Server zu bewerben. Die NitroRansomware-Betreiber konzentrieren sich genau auf diese Nitro-Abonnements.
Statischer Entschlüsselungsschlüssel und Discord-Geschenkcodes
Die Nitro Ransomware wird unter dem Deckmantel eines Software-Tools vertrieben, das angeblich kostenlose Nitro-Geschenkcodes generieren kann. Benutzer, die solche Codes auf illegale Weise erhalten möchten, sind stattdessen mit der Malware-Bedrohung infiziert. Die Dateien auf den gefährdeten Computern werden dann durch eine Verschlüsselungsroutine gesperrt. An jede betroffene Datei wird '.givemenitro' als neue Erweiterung an ihren Namen angehängt. Nach Abschluss des Verschlüsselungsprozesses ändert die Nitro Ransomware das Standard-Hintergrundbild des Systems mit einem Bild eines geänderten Discord-Logos und zeigt dessen Lösegeldschein in einem Popup-Fenster an.
Gemäß den Anweisungen haben Benutzer 3 Stunden Zeit, um einen gültigen Discord Nitro-Geschenkcode in das entsprechende Feld einzugeben, um ihre Dateien zu entschlüsseln. Wenn die Zeit abgelaufen ist, drohen die Hacker, dass alle verschlüsselten Daten gelöscht werden und für immer verloren gehen. Dies ist jedoch nur eine leere Bedrohung, da die Analyse des zugrunde liegenden Codes ergeben hat, dass keine Dateien gelöscht werden, wenn der Timer abgelaufen ist. Darüber hinaus verwendet die Nitro Ransomware einen eingebetteten statischen Entschlüsselungsschlüssel, um die Benutzerdateien freizugeben, wenn ein geeigneter Geschenkcode bereitgestellt wird. Die Verwendung statischer Schlüssel bedeutet, dass ein potenzieller Entschlüsseler erstellt werden kann, sodass Benutzer ihre Dateien kostenlos erhalten können, ohne sich überhaupt mit den Hackern zu beschäftigen.
Die Nitro Ransomware hat eine bedrohliche Funktionalität erweitert
Die schändlichen Fähigkeiten der Nitro Ransomware gehen über das Sperren von Dateien hinaus. Die Bedrohung kann auch als Hintertür fungieren, sodass die Hacker beliebige Befehle auf dem gefährdeten System remote ausführen können. Alle Ergebnisse können dann über Webhooks an den Discord-Kanal des Angreifers gesendet werden. Die Nitro Ransomware kann auch Discord-Token von ihren Opfern sammeln, die dann verwendet werden können, um die zugehörigen Discord-Server zu verletzen.
Neben dem Versuch, ihre verschlüsselten Dateien wiederherzustellen, wird den Opfern der Nitro Ransomware dringend empfohlen, ihre Discord-Passwörter so schnell wie möglich zu ändern. Eine weitere vorbeugende Maßnahme, um mögliche Folgeangriffe zu stoppen, besteht darin, das infizierte System nach zusätzlichen Malware-Nutzdaten zu durchsuchen, die möglicherweise bereitgestellt wurden. Suchen Sie abschließend nach neuen Windows-Konten, die möglicherweise von den Angreifern erstellt wurden, und löschen Sie sie sofort.
