Underc0de

Foros Generales => Noticias Informáticas => Mensaje iniciado por: AXCESS en Abril 26, 2021, 04:16:17 pm

Título: NitroRansomware exige códigos de regalo como rescate
Publicado por: AXCESS en Abril 26, 2021, 04:16:17 pm
(https://i.postimg.cc/yxqPBYqn/Ransomware-1.png) (https://postimages.org/)

Los investigadores han encontrado un nuevo ransomware que está obsesionado con Discord Nitro.
 
Apodado como NitroRansomware, el malware cifra los datos de una víctima solo para liberarlos después de recibir los códigos de regalo de Discord Nitro.
 
Nitro es un complemento de Discord basado en suscripción que ofrece funciones adicionales como transmisión de HD, emojis y cargas más grandes, y más por $ 9.99 / mes.
 
(https://i.postimg.cc/QNF24hc2/Nitro-Ransomware.png) (https://postimages.org/)

Resulta que el ransomware se dirige a una víctima haciéndose pasar por una herramienta que genera códigos de regalo Nitro gratuitos.

Seguramente, un usuario promedio, como un usuario de Discord Nitro, se enamoraría de él.
 
Al llegar al sistema de destino, el malware comienza a cifrar los datos y agrega una extensión ".givemenitro" a los nombres de los archivos. Después de completar el proceso de encriptación. El malware cambia el escritorio de la víctima a un logotipo malvado de Discord.
 
Mientras que, también aparece una pantalla de ransomware que sirve como nota de rescate. Exige que la víctima pague el rescate como códigos de regalo de Nitro.

Junto a esta peculiar demanda, los actores de amenazas también dan un plazo muy corto de tres horas para cumplir con su demanda.
 
Considerando que, amenazan a la víctima con eliminar todos los datos en caso de que no se pague el rescate.
 
Sin embargo, se observó que esta amenaza es simplemente un engaño y que no sucede nada incluso después de que finaliza el plazo de 30 horas.

Una vez que una víctima paga el rescate, los atacantes verificarían la validez del código de regalo a través de la URL de la API de Discord. Si se verifica, los actores de la amenaza descifran los datos.

Descifrador estático presente dentro del ransomware

Los investigadores encontraron que el descifrador es en realidad una clave estática incrustada en el código del ransomware.
 
Por lo tanto, es posible que las víctimas no tengan que pagar el rescate si pueden averiguarlo.Sin embargo, aún sufrirían algunos daños debido a este ataque.

NitroRansomware también tiene una funcionalidad de puerta trasera adicional. Además, también puede ejecutar comandos en el sistema de destino. Considerando que, el principal problema para una víctima es que el ransomware también roba tokens de Discord.
 
Esto permite que el atacante inicie sesión como usuario víctima. Cuando se inicia NitroRansomware, buscará la ruta de instalación de Discord de la víctima y luego extraerá los tokens de usuario de los archivos * .ldb ubicados en "Almacenamiento local \ leveldb". Estos tokens luego se envían de vuelta al actor de amenazas a través de un webhook de Discord.
 
Por tanto, las víctimas de este ransomware deben asegurarse de cambiar sus contraseñas de Discord para no perder sus cuentas.
 
Además, el ransomware también roba datos de los navegadores web. Por lo tanto, es posible que las víctimas también tengan que revisar y cambiar las contraseñas de todas las cuentas que guardaron en sus navegadores.

Fuente:
Latest Hacking News
https://latesthackingnews.com/2021/04/21/nitroransomware-demands-gift-codes-as-ransom/