与以往的攻击不同的是,NitroRansomware恶意软件向受害者索要的并非是实际的钱,而是Discord Nitro礼品代码。
Discord是一个提供创建社区服务的VoIP、即时通讯和数字传播平台。用户都能够通过语音通话、视频通话、文本消息、媒体和文件进行交流。
虽然它是免费的,但用户都能够花9.99美元购买升级版的 Nitro 套餐,进而可以上传更大的高清的视频、更好的表情符号。
NitroRansomware幕后的运营商显然对Nitro订阅非常感兴趣。这个特点最初是由MalwareHunterTeam发现的,其他研究人员调查了该代码的工作原理。
勒索软件执行后,它将会加密受害者的文件,并给他们三个小时的时间来提供一个有效的Discord Nitro代码。该恶意软件会将.givemenitro扩展名附加到加密文件的文件名上。在加密过程结束后,NitroRansomware会将用户的桌面壁纸改为愤怒的Discord标志。
根据Bleeping Computer的分析,该勒索软件会验证用户所提供的Discord礼品代码是否有效,并使用嵌入式静态解密密钥解密文件。然而,三个小时的限制似乎只是一种吓唬人的手段。如果计时器计时为零,我们得知实际上并没有文件被删除。
该媒体的分析还指出,由于解密密钥是静态的,所以有几率会从可执行文件本身提取解密密钥,所以没有必要线美元。
MalwareHunterTeam还指出,该恶意软件还会窃取受害者的Discord令牌,这将使攻击者能够入侵Discord服务器。
NitroRansomware还实现了后门功能,这允许黑客远程执行命令,然后通过他们的网络将内容发送到攻击者的Discord频道。
Chirica建议感染勒索软件的用户立即更改他们的Discord密码,并进行病毒扫描,检测添加到电脑中的其他恶意程序。还有,用户应该检查Windows中是否有他们之前没有创建的新用户账户,假如发现,应立即将其删除。
为什么犯罪分子选择礼品代码呢?研究员凯文-博蒙特(Kevin Beaumont)指出,因为它们能被转卖,也能够适用于洗钱。
被盗的礼品代码和卡片在地下网络有很大的市场。例如,根据Gemini Advisors的报告,2月份有3010家公司的礼品卡信息出现在了一个俄语的非法论坛上。这中间还包括Airbnb、亚马逊、美国航空、Chipotle、Dunkin Donuts、万豪、耐克、Subway、Target和沃尔玛的卡片。
Gemini公司指出,这些卡的价值约为38,000美元--但对这些卡片背后的网络犯罪分子来说,它们的净收入要少一些。被盗礼品卡的起拍价为10,000美元。据该公司称,这些礼品卡在发布出售后不久就被另一名网络犯罪分子买走了。
通常情况下,在暗网中泄露的礼品卡的售价为卡片原价的10%;但是,这次泄露的895,000张卡的价格大约只为卡片价值的0.05%。它补充说,这种差异可能意味着这些礼品卡的价值可能很低。
据Gemini公司称,当涉及到货币化时,网络犯罪分子基本上有两个选择:购买实际货物并进行转售;或者像上面的例子那样,将卡卖给第三方礼品卡市场。
根据该报告,在本次攻击计划中,网络犯罪分子将使用被盗的支付卡来购买礼品卡,然后将礼品卡卖给Cardpool(一个发卡市场)。如果银行能确定礼品卡是用偷来的支付卡购买的,他们能够与发行礼品卡的商户银行或礼品卡供应商联系,要求他们取消礼品卡。不幸的是,这样的一个过程可能是很复杂和耗时的,一般这样的一种情况很少发生,这给网络犯罪分子提供了更多的时间来完成他们的犯罪计划。