Discord : un abonnement de 9,99 € exigé comme rançon
C’est une situation assez insolite.
En effet, programme de rançon circule actuellement qui présente un caractère assez particulier.Le NitroRansomware, c’est ainsi qu’il se fait appeler. Sa célébrité vient du fait quelle demande 9, 99 dollars pour débloquer les ordinateurs qu’il a infecté. Alors que dans certains cas les opérateurs derrières les rançongiciels ont tendance à exiger des milliers voire des millions de dollar en guise de rançon. Qu’est-ce qui pourrait bien expliquer cette situation ?
Cet article va aussi vous intéresser : Ransomwares : Pourquoi en avoir peur ?
Selon les analyses du média en ligne Bleeping Computer, le rançongiciel dont il est question se fait aussi appelé Discord Nitro. Ce qui fait penser au chercheur en sécurité informatique que les ses opérateurs sont assez intéressés par les abonnements Nitro. C’est d’ailleurs un programme malveillant qui aurait été détecté par le un groupe de chercheurs, MalwareHunterTeam. Dans une publication parue sur Twitter ce samedi dernier, le groupe de chercheurs déclarait : « Il existe un ransomware appelé « Nitro Ransomware ». « Il n’y a pas d’autre moyen de l’ouvrir que si vous avez la clé de déchiffrement. Vous avez moins de 3 heures pour nous donner Discord Nitro. » Il vérifie en fait si vous entrez ».
Mais au-delà plusieurs autres groupes se sont intéressés à ce rançongiciels assez atypique. Il était retenu par ces derniers que le programme malveillant se distribue comme un code cadeau pour Nitro. « Lors de l’exécution du ransomware, il cryptera le fichier de la victime et leur donnera trois heures pour fournir un [code] Discord Nitro valide », a détaillé Cezarina Chirica, chercheuse à Heimdal Security, une entreprise sécurité qui s’intéresse aux programmes malveillant, dans une publication ce lundi. « Le logiciel malveillant ajoute l’extension ‘.givemenitro’ aux noms de fichiers des fichiers chiffrés. À la fin d’un processus de cryptage, NitroRansomware changera le fond d’écran de l’utilisateur en un logo Discord diabolique ou en colère. », ajoute cette dernière.
Pour ce qui concerne ces fonctionnalités, il semblerait notamment que le programme en question soit assez sophistiqué. À ce propos la chercheuse Cezarina Chirica explique. « NitroRansomware implémente également des capacités de porte dérobée, permettant aux pirates d’exécuter des commandes à distance, puis d’envoyer la sortie via leur webhook au canal Discord de l’attaquant ». Pour cela elle recommande aux utilisateurs qui ont été touchés par ce programme malveillant de procéder immédiatement au changement des différents mots de passe en particulier celui de Discord. D’effectuer quelques analyses avec leurs solutions antivirus pour détecter si d’autres programmes n’ont pas été ajouté à leurs terminaux. S’assurer que d’autres compte Windows n’ont pas été ajouté au sien, dans le cas contraire les supprimer sans tarder.
Le second questionnement que soulève le mode opératoire de ce programme malveillant est ce qui concerne la méthode de paiement. En effet les codes cadeaux. Pourquoi des codes cadeaux à 9 dollars ?
« De toute évidence, celui-ci est un peu stupide, mais BEC a réalisé il y a quelque temps que les cartes-cadeaux iTunes et autres sont parfaites pour le blanchiment d’argent – faites en sorte que la victime achète plusieurs cartes-cadeaux, puis une infrastructure criminelle existe pour la revente de cartes-cadeaux, le blanchiment de faux ebooks, applications, etc. » explique sur Twitter Kevin Beaumont, chercheur en cybersécurité
La soirée alors très bien calculé de la part des derrière NitroRansomware. Ils peuvent bel et bien utiliser les codes cadeaux qu’ils récolteront suite à cette campagne. Selon Gemini Advisor, deux éventualités s’offrent aux pirates informatiques pour la monétisation des coups de cadeaux. Soit ils les utilisent pour effectuer des achats de biens matériels physiques, soit il décide de le vendre dans le marché dédié au carte cadeau. « Dans [un] système, les cybercriminels utiliseraient des cartes de paiement volées pour acheter des cartes-cadeaux, puis les vendraient à Cardpool [un marché de cartes de crédit] », explique le rapport de Gemini Advisor. « Si une banque devait déterminer que la carte-cadeau avait été achetée avec une carte de paiement volée, elle pourrait se connecter avec la banque commerciale ou les vendeurs de cartes-cadeaux qui ont émis la carte-cadeau et leur demander d’annuler la carte-cadeau. Malheureusement, ce processus peut s’avérer fastidieux et long, ce qui en fait un événement rare et offre aux cybercriminels une fenêtre de temps plus large pour mener à bien leur programme. ».
Accédez maintenant à un nombre illimité de mot de passe :