NitroRansomware要求受害者提供价值9.99美元的Discord礼品代码

与以往的攻击不同的是，NitroRansomware恶意软件向受害者索要的并非是实际的钱，而是Discord Nitro礼品代码。

Discord是一个提供创建社区服务的VoIP、即时通讯和数字传播平台。用户可以通过语音通话、视频通话、文本消息、媒体和文件进行交流。

虽然它是免费的，但用户可以花9.99美元购买升级版的 "Nitro "套餐，进而可以上传更大的高清的视频、更好的表情符号。

NitroRansomware幕后的运营商显然对Nitro订阅非常感兴趣。这个特点最初是由MalwareHunterTeam发现的，其他研究人员调查了该代码的工作原理。

Heimdal Security研究员Cezarina Chirica在周一的帖子中解释说：

勒索软件执行后，它将会加密受害者的文件，并给他们三个小时的时间来提供一个有效的Discord Nitro代码。该恶意软件会将'.givemenitro'扩展名附加到加密文件的文件名上。在加密过程结束后，NitroRansomware会将用户的桌面壁纸改为愤怒的Discord标志。

根据Bleeping Computer的分析，该勒索软件会验证用户所提供的Discord礼品代码是否有效，并使用嵌入式静态解密密钥解密文件。然而，三个小时的限制似乎只是一种吓唬人的手段。如果计时器计时为零，我们发现实际上并没有文件被删除。

该媒体的分析还指出，由于解密密钥是静态的，所以有可能从可执行文件本身提取解密密钥，所以没有必要真的去支付9.99美元。

后续可能发生的攻击

MalwareHunterTeam还指出，该恶意软件还会窃取受害者的Discord令牌，这将使攻击者能够入侵Discord服务器。

Heimdal的Chirica说：

NitroRansomware还实现了后门功能，这允许黑客远程执行命令，然后通过他们的网络将内容发送到攻击者的Discord频道。

Chirica建议感染勒索软件的用户立即更改他们的Discord密码，并进行病毒扫描，检测添加到电脑中的其他恶意程序。还有，用户应该检查Windows中是否有他们之前没有创建的新用户账户，如果发现，应立即将其删除。

礼品卡：网络犯罪者的金矿

为什么犯罪分子选择礼品代码呢？研究员凯文-博蒙特（Kevin Beaumont）指出，因为它们可以被转卖，也可以用于洗钱。

被盗的礼品代码和卡片在地下网络有很大的市场。例如，根据Gemini Advisors的报告，2月份有3010家公司的礼品卡信息出现在了一个俄语的非法论坛上。其中包括Airbnb、亚马逊、美国航空、Chipotle、Dunkin Donuts、万豪、耐克、Subway、Target和沃尔玛的卡片。

Gemini公司指出，这些卡的价值约为38,000美元--但对于这些卡片背后的网络犯罪分子来说，它们的净收入要少一些。被盗礼品卡的起拍价为10,000美元。据该公司称，这些礼品卡在发布出售后不久就被另一名网络犯罪分子买走了。

Gemini公司在4月初的一份报告中说：

通常情况下，在暗网中泄露的礼品卡的售价为卡片原价的10%；但是，这次泄露的895,000张卡的价格大约只为卡片价值的0.05%。它补充说，这种差异可能意味着这些礼品卡的价值可能很低。

据Gemini公司称，当涉及到货币化时，网络犯罪分子基本上有两个选择：购买实际货物并进行转售；或者像上面的例子那样，将卡卖给第三方礼品卡市场。

根据该报告，"在本次攻击计划中，网络犯罪分子将使用被盗的支付卡来购买礼品卡，然后将礼品卡卖给Cardpool（一个发卡市场）。"如果银行可以确定礼品卡是用偷来的支付卡购买的，他们可以与发行礼品卡的商户银行或礼品卡供应商联系，要求他们取消礼品卡。不幸的是，这个过程可能是非常繁琐和耗时的，一般这种情况很少发生，这给网络犯罪分子提供了更多的时间来完成他们的犯罪计划。"