Через помилку в коді програма-вимагач Nitrogen шифрує файли жертв безповоротно
7 февраля 2026
Експерти з кібербезпеки зазвичай радять жертвам не платити викуп шахраям, які використовують програми-вимогателі, але ця порада особливо актуальна для тих, хто став жертвою групи Nitrogen. Відновити свої дані від них неможливо.
Джерело зображення: Cybersecuritynews.com
За даними Coveware, яка вивчила внутрішню структуру програми-вимогателя Nitrogen, програмна помилка в коді цього шкідливого ПЗ заважає відновленню файлів жертви за допомогою дешифратора, тому платити викуп безглуздо.
Це відкриття стосується конкретно шкідливої програми групи, націленої на системи з VMware ESXi. Coveware зазначає, що програма шифрує файли з неправильним відкритим ключем, що робить неможливим їх розшифровку для злочинців, навіть якщо жертва заплатить за інструмент розшифровки.
Шкідлива програма Nitrogen допускає помилку при завантаженні в пам'ять нової змінної типу QWORD, яка перекривається з відкритим ключем. Оскільки шкідлива програма завантажує відкритий ключ за зміщенням rsp+0x20, а 8-байтове QWORD — за зміщенням rsp+0x1c, вона перезаписує перші чотири байти відкритого ключа, що означає, що наданий злочинцем дешифратор не спрацює.
«Зазвичай, коли генерується пара відкритого і закритого ключів Curve25519, спочатку генерується закритий ключ, а потім на його основі виводиться відкритий ключ. Отриманий в результаті пошкоджений відкритий ключ був згенерований не на основі закритого ключа, а шляхом помилкової перезаписи кількох байтів іншого відкритого ключа. В результаті ніхто насправді не знає закритий ключ, який відповідає пошкодженому відкритому ключу», — заявили в Coveware.
Групування Nitrogen діє з 2023 року. За даними Coveware, спочатку воно виникло після витоку в мережу билдера Conti, як і безліч інших груп, які взяли цей код за основу. За даними Barracuda Networks, що спеціалізується на кібербезпеці, поступово Nitrogen перетворилася на повноцінну групу, що займається вимаганням. Спочатку вона розробляла шкідливе ПЗ для полегшення початкового доступу іншим хакерам (хоча сама група не продавала доступи). Вимаганням у організацій група почала займатися самостійно приблизно в вересні 2024 року.
Навіть з урахуванням цього останнього відкриття, яке увійде в історію як один з епічних провалів банд, що займаються вимаганням, важко знайти в цьому щось смішне. Помилка в коді виводить цю мотивовану на фінансову вигоду банду, що займається вимаганням, в область чистої катастрофи, де обидві сторони залишаються в програші.
Хочеш дізнатися більше — читай відгуки
← Вернуться на предыдущую страницу
Читайте также:
Лубінець назвав кількість українських біженців 21 июня 2026
За даними УВКБ ООН, понад 5,7 млн українців через збройну агресію проти України були змушені виїхати за кордон.
В Індії запустять власний супутниковий інтернет — конкурента Starlink 21 июня 2026
Один з найбільших телеком-операторів Індії Reliance Jio оголосив про плани створити супутникову групу на низькій околоземній орбіті, щоб забезпечити населення країни супутниковим зв'язком. Це зробить його прямим конкурентом американської компанії Starlink та іншими глобальними провайдерами супутникового інтернету.
Silent PC випустила водонепроникний ПК на базі AMD Ryzen 9000 21 июня 2026
Компанія Silent PC оголосила про початок продажів одного з найнестандартніших комп'ютерів на базі чіпів сімейства AMD Ryzen 9000. Цей ПК не лише позбавлений шумної системи активного охолодження, але й може похвалитися водонепроникним корпусом.
5.0
0.5