Un nuovo ransomware che si fa chiamare “NitroRansomware” sta utilizzando un nuovo approccio alle richieste di riscatto: crittografa i file della vittima e richiede un codice regalo Discord Nitro alle vittime per decrittografare i file anzichè denaro reale.
Discord è una piattaforma VoIP, messaggistica istantanea e distribuzione digitale progettata per creare comunità utilizzata dagli utenti per comunicare attraverso chiamate vocali, videochiamate, messaggi di testo, contenuti multimediali e file in chat private o come parte di comunità chiamate “server”. Sebbene sia gratuita, gli utenti possono acquistare un abbonamento “Nitro” aggiornato per $ 9,99 che consente dimensioni di caricamento maggiori, streaming video HD, migliori opzioni emoji e la possibilità di “distinguersi” tramite promozioni sui server.
Basato sui nomi dei file per i campioni NitroRansomware condivisi da MalwareHunterteam e analizzati da BleepingComputer, questo nuovo ransomware, a differenza della maggior parte di altri ransomware che richiedono come riscatto migliaia o milioni di dollari in criptovaluta, chiede invece un codice Nitro Gift da $ 9,99. Secondo i ricercatori, il ransomware viene infatti distribuito come un presunto generatore di codici regalo gratuito per Nitro.
Quando viene eseguito, il ransomware crittografa i file di una persona e aggiunge un’estensione ai file crittografati a seguito della quale verrà quindi visualizzata una schermata del ransomware che richiede un codice regalo Nitro gratuito entro tre ore, oppure il ransomware eliminerà i file crittografati della vittima.
Oltre a crittografare i file, NitroRansomware eseguirà anche altre attività dannose sul computer di una vittima. Una volta avviato, cercherà il percorso di installazione di Discord di una vittima e quindi estrarrà i token utente dai file. Questi token vengono quindi rimandati all’attore della minaccia tramite un webhook Discord.
Come parte di questo processo, il malware cercherà anche di rubare dati da Google Chrome, Brave Browser e Yandex Browser. Inoltre, include anche funzionalità per eseguire comandi e inviare l’output tramite il webhook al canale Discord dell’attaccante.
“La buona notizia è che questo ransomware non riesce a nascondere la sua chiave di decrittazione e gli utenti possono recuperare i propri file gratuitamente.
Tuttavia, la cattiva notizia è che l’attore della minaccia probabilmente avrà già rubato il token Discord di un utente.
Per questo motivo, gli utenti infettati da questo ransomware dovrebbero cambiare immediatamente la loro password Discord nel caso in cui il loro account sia stato compromesso”, concludono gli esperti di BleepingComputer.
