NitroRansomware mới bị phát hiện rất khác so với các mã độc mã hóa file thông thường khi không đòi tiền chuộc bằng tiền mặt hay tiền điền tử mà lại bắt các nạn nhân phải chuộc các file bị mã hóa bằng gift-code của Discord Nitro.
Discord là phần mềm miễn phí về VoIP và phân phối kỹ thuật số cho cộng đồng trò chơi điện tử. Ứng dụng này cho phép thành viên liên lạc bằng tin nhắn, hình ảnh, âm thanh hoặc video trong một nhóm chat. Discord có thể chạy trên Windows, macOS, Android, iOS, Linux và các trình duyệt web (Theo wikipedia). Discord tại Việt Nam được giới trẻ chơi game sử dụng khá nhiều về tính tiện lợi và ổn định hỗ trợ tốt cho nền tảng game. Người dùng Discord phải mua gói premium để nâng cấp các tính năng giới hạn như cho phép upload file kích thước lớn, HD video streaming, có nhiều emoji để lựa chọn hơn .Gói cước này Discord giới thiệu với tên gọi là ““Discord Nitro” với giá $9,99/tháng hoặc 99,99$/năm.
NitroRansomware được phát hiện bởi MalwareHunterTeam khi phân tích mã nguồn của mã độc. Nó được phân phối dưới dạng một phần mềm tạo mã gift-code miễn phí dành cho Nitro của Discord.
Khi mã độc được thực thi nó sẽ mã hóa toàn bộ file của người dùng và người dùng có 3 giờ để cung cấp mã code Discord Nitro hợp lệ để chuộc lại tài liệu. Theo chuyên gia nghiên cứu bảo mật Heimdal (chi tiết bài đăng tại đây), “Mã độc thêm đuôi mở rộng ‘.givemenitro’ vào tất cả các file được mã hóa. Sau khi hoàn tất tiến trình mã hóa file NitroRansomware sẽ thay đổi hình nền của nạn nhân thành biểu tượng chế logo Discord ở dạng giận dữ”.
Sau đó mã độc sẽ tiến hành xác minh lại mã gift-code người dùng cung cấp có hợp lệ hay không và giải mã các file sử dụng static key đã được nhúng trong nó. Tuy nhiên giới hạn 3 giờ dường như chỉ để hù dọa vì khi bộ đếm thời gian hết giờ thì các file của nạn nhân không bị xóa. Vì key mã hóa được nhúng vào mã độc nên có thể extract key ra ngoài và khôi phục lại các file đã bị mã độc mã hóa do đó nạn nhân không thực sự cần phải trả $9.99 mua gift-code Nitro để chuộc các file của mình.
MalwareHunterTeam cũng chỉ ra rằng mã độc cũng đánh cắp Discord tokens của nạn nhân. NitroRansomware có chứa backdoor cho phép hacker có thể thực thi lệnh từ xa và gửi kết quả qua webhook kênh discord của kẻ tấn công.
Những nạn nhân của NitroRansomware cần đổi password Discord và thực hiện quét virus để phát hiện mã độc ngay lập tức. Đồng thời người dùng cần kiểm tra các tài khoản mới được tạo trên máy tính Windows và xóa đi các tài khoản lạ không phải người dùng tạo.
Vậy tại sao kẻ tấn công lại nhắm vào mã Gift-code mà không phải tiền mặt? Theo nhà nghiên cứu Kevin Beaumont thì các mã Gift-code này có thể bán lại lấy tiền mặt hoặc có thể dùng phục vụ cho các hoạt động rửa tiền.
Đánh cắp mã quà tặng và thẻ ngân hàng là 1 mảng kinh doanh lớn trong thế giới ngầm cyber-underground. Ví dụ trong 02/2021 mã voucher quà tặng của 3010 công ty được bán trên 1 diễn đàn sử dụng tiếng Nga. Dữ liệu gồm có thẻ ngân hàng, voucher từ các công ty lớn như Airbnb, Amazon, American Airlines, Chipotle, Dunkin Donuts, Marriott, Nike, Subway, Target and Walmart.
Lược dịch từ Threatpost