Эксперты по кибербезопасности предупреждают: ошибка в программе-вымогателе Nitrogen делает бесполезной оплату выкупа за данные, зашифрованные для VMware ESXi. Банда уходит ни с чем, жертвы остаются с невосстановимыми гипервизорами.
Эксперты по кибербезопасности обычно советуют жертвам не платить вымогателям, но в случае с группировкой Nitrogen этот совет стоит удвоить. Получить свои данные обратно от них невозможно!
Согласно отчету Coveware, которая изучила программу-вымогатель Nitrogen, ошибка в коде не позволяет дешифратору банды восстановить файлы жертв, поэтому выкуп платить бесполезно.
Эта находка касается вредоносного ПО группы, нацеленного на VMware ESXi. Coveware сообщила, что программа шифрует файлы с использованием неправильного публичного ключа, что делает невозможным их расшифровку преступниками, даже если жертва заплатит за инструмент дешифровки.
Вредоносное ПО Nitrogen допускает ошибку, загружая новую переменную QWORD в память таким образом, что она перекрывает публичный ключ.
Поскольку вредоносное ПО загружает публичный ключ по смещению rsp+0x20, а 8-байтовый QWORD — по смещению rsp+0x1c, оно перезаписывает первые четыре байта публичного ключа. Это означает, что дешифратор, предоставленный злоумышленником, не будет работать.
“Обычно, когда генерируется пара ключей Curve25519 (публичный и приватный), сначала генерируется приватный ключ, а затем публичный ключ выводится на его основе”, — сообщила Coveware.
“Полученный поврежденный публичный ключ не был сгенерирован на основе приватного ключа; он был получен путем ошибочной перезаписи нескольких байтов другого публичного ключа. В итоге никто на самом деле не знает приватного ключа, соответствующего поврежденному публичному ключу”.
Группировка Nitrogen существует с 2023 года. По данным Coveware, она возникла как один из многочисленных ответвлений, заимствовавших код из утекшего конструктора Conti 2.
Ранее Barracuda Networks сообщала, что группа постепенно эволюционировала. Сначала она разработала вредоносное ПО для обеспечения первоначального доступа для других, хотя ее операторы не работали как брокеры первоначального доступа, а начали вымогать средства у организаций примерно в сентябре 2024 года.
Хотя Nitrogen не является одной из самых активных группировок, ее не стоит недооценивать.
Даже с учетом этой последней находки, которая войдет в историю наряду с другими эпическими автоголами со стороны банд-вымогателей, в этой ситуации трудно найти что-то смешное.
Программная ошибка переводит эту финансово мотивированную банду вымогателей в область чистого разрушения, где проигрывают обе стороны. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Connor Jones