Nitro ransomware
Ya se ha observado que varias familias de ransomware utilizan webhooks de Discord para comunicarse y exfiltrar datos de sistemas comprometidos. Sin embargo, los ciberdelincuentes detrás del Nitro Ransomware han ido un paso más allá, ya que en lugar del habitual rescate pagado en una de las populares criptomonedas exigen a sus víctimas un pago en tarjetas regalo Discord Nitro.
Discord es una de las plataformas sociales más populares entre los usuarios de computadoras. Comenzando como un servicio de VoIP (Voice over IP) dirigido a reproductores de PC, la aplicación se ha expandido desde entonces a una plataforma completa que permite a los usuarios enviar mensajes, realizar llamadas de audio y video, enviar archivos y comunicarse a través de chats privados o comunidades llamadas servidores. Además de su nivel gratuito, Discord ofrece suscripciones pagas para la actualización 'Nitro' con un precio de $ 9.99. Por esos precios, los usuarios obtienen un límite ampliado en archivos cargados, transmisión de video HD, emojis adicionales y la opción de promover servidores. Los operadores de NitroRansomware se están enfocando exactamente en esas suscripciones de Nitro.
Clave de descifrado estático y códigos de regalo de Discord
El Nitro Ransomware se distribuye bajo la apariencia de una herramienta de software que supuestamente es capaz de generar códigos de regalo Nitro gratuitos. Los usuarios que desean obtener dichos códigos a través de medios ilícitos, en cambio, están infectados con la amenaza de malware. Los archivos de las computadoras comprometidas se bloquearán mediante una rutina de cifrado. Cada archivo afectado tendrá '.givemenitro' agregado a su nombre como una nueva extensión. Una vez que se haya completado el proceso de cifrado, Nitro Ransomware cambiará el fondo de pantalla predeterminado del sistema con una imagen de un logotipo de Discord modificado y mostrará su nota de rescate en una ventana emergente.
De acuerdo con las instrucciones, los usuarios tienen 3 horas para proporcionar un código de regalo de Discord Nitro válido en el campo correspondiente para descifrar sus archivos. Si el tiempo expira, los piratas informáticos amenazan con eliminar y perder para siempre todos los datos cifrados. Sin embargo, esto es solo una amenaza vacía, ya que el análisis del código subyacente ha revelado que no se eliminarán archivos cuando se agote el tiempo. Además, Nitro Ransomware utiliza una clave de descifrado estática incorporada para liberar los archivos del usuario cada vez que se proporciona un código de regalo apropiado. El uso de claves estáticas significa que se podría crear un descifrador potencial para que los usuarios puedan obtener sus archivos de forma gratuita sin interactuar con los piratas informáticos en absoluto.
El Nitro Ransomware ha ampliado una funcionalidad amenazadora
Las nefastas capacidades de Nitro Ransomware van más allá del bloqueo de archivos. La amenaza también puede actuar como una puerta trasera que permite a los piratas informáticos ejecutar comandos arbitrarios en el sistema comprometido de forma remota. Todos los resultados se pueden enviar al canal Discord del atacante a través de webhooks. El Nitro Ransomware también puede recolectar tokens de Discord de sus víctimas que luego pueden usarse para violar los servidores de Discord asociados.
Además de intentar recuperar sus archivos cifrados, se recomienda encarecidamente a las víctimas del Nitro Ransomware que cambien sus contraseñas de Discord lo antes posible. Otra medida preventiva para detener cualquier posible ataque de seguimiento es escanear el sistema infectado en busca de cargas útiles de malware adicionales que podrían haberse entregado. Por último, compruebe si hay nuevas cuentas de Windows que puedan haber sido creadas por los atacantes y elimínelas de inmediato.
