NitroRansomware; la variante de malware que cifra archivos a través de Discord

Un reciente reporte indica la detección de una nueva variante de ransomware identificada como NitroRansomware, caracterizada por exigir a las víctimas un código de regalo Discord Nitro a cambio de restablecer sus sistemas. Como recordará, Discord es una plataforma  gratuita con funciones como VoIP, chat y streaming con especial énfasis para la comunidad gamer a través de servidores.

Discord también ofrece un complemento de suscripción a Nitro por casi 10 dólares por mes que brinda funciones adicionales, como transmisión de video HD; estas suscripciones también se pueden pagar como regalo para otro usuario. En el caso de NitroRansomware, los creadores del malware se aprovecharon de esto para distribuirlo como un generador falso de códigos de regalo para Nitro.

Al ejecutar el ransomware comenzará el proceso de cifrado de los archivos de la víctima, mencionándoles que cuentan con tres horas para ingresar un código válido para Nitro. El malware agrega la extensión “.givemenitro” a los nombres de los archivos cifrados y posteriormente cambia el fondo de pantalla del usuario por una imagen impuesta por los hackers.

En caso de que las víctimas no proporcionen el código de regalo en el plazo mencionado, el ransomware amenazará con eliminar los archivos cifrados: “Este temporizador parece ser una amenaza falsa, ya que las muestras de ransomware analizadas hasta el momento no parecen eliminar ningún archivo cuando el temporizador llega a cero”, señalan los expertos.

En caso de que las víctimas proporcionen una URL válida para código de regalo, el malware empleará una API de Discord para su verificación y eventualmente empleará una clave de descifrado para restablecer los archivos. Los expertos creen que los operadores del ransomware usan este método debido a lo fácil que es obtener ingresos que, aunque mínimos, son constantes. La buena noticia es que la presencia de las claves de descifrado en el ejecutable del malware podría permitir a los investigadores obtenerlas y descifrar los archivos sin pagar el rescate.

Los investigadores también notaron que NitroRansomware realiza otras actividades maliciosas en los  dispositivos infectados, como robar tokens de autenticación de Discord que se almacenan en forma de archivos * .ldb almacenados en Almacenamiento local\leveldb. Una vez robados, los tokens se envían de vuelta a los operadores de ransomware a través de un webhook de Discord.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).