Через помилку в коді програма-вимагач Nitrogen шифрує файли жертв безповоротно

Експерти з кібербезпеки зазвичай радять жертвам не платити викуп шахраям, які використовують програми-вимогателі, але ця порада особливо актуальна для тих, хто став жертвою групи Nitrogen. Відновити свої дані від них неможливо.

Джерело зображення: Cybersecuritynews.com

За даними Coveware, яка вивчила внутрішню структуру програми-вимогателя Nitrogen, програмна помилка в коді цього шкідливого ПЗ заважає відновленню файлів жертви за допомогою дешифратора, тому платити викуп безглуздо.

Це відкриття стосується конкретно шкідливої програми групи, націленої на системи з VMware ESXi. Coveware зазначає, що програма шифрує файли з неправильним відкритим ключем, що робить неможливим їх розшифровку для злочинців, навіть якщо жертва заплатить за інструмент розшифровки.

Шкідлива програма Nitrogen допускає помилку при завантаженні в пам'ять нової змінної типу QWORD, яка перекривається з відкритим ключем. Оскільки шкідлива програма завантажує відкритий ключ за зміщенням rsp+0x20, а 8-байтове QWORD — за зміщенням rsp+0x1c, вона перезаписує перші чотири байти відкритого ключа, що означає, що наданий злочинцем дешифратор не спрацює.

«Зазвичай, коли генерується пара відкритого і закритого ключів Curve25519, спочатку генерується закритий ключ, а потім на його основі виводиться відкритий ключ. Отриманий в результаті пошкоджений відкритий ключ був згенерований не на основі закритого ключа, а шляхом помилкової перезаписи кількох байтів іншого відкритого ключа. В результаті ніхто насправді не знає закритий ключ, який відповідає пошкодженому відкритому ключу», — заявили в Coveware.

Групування Nitrogen діє з 2023 року. За даними Coveware, спочатку воно виникло після витоку в мережу билдера Conti, як і безліч інших груп, які взяли цей код за основу. За даними Barracuda Networks, що спеціалізується на кібербезпеці, поступово Nitrogen перетворилася на повноцінну групу, що займається вимаганням. Спочатку вона розробляла шкідливе ПЗ для полегшення початкового доступу іншим хакерам (хоча сама група не продавала доступи). Вимаганням у організацій група почала займатися самостійно приблизно в вересні 2024 року.

Навіть з урахуванням цього останнього відкриття, яке увійде в історію як один з епічних провалів банд, що займаються вимаганням, важко знайти в цьому щось смішне. Помилка в коді виводить цю мотивовану на фінансову вигоду банду, що займається вимаганням, в область чистої катастрофи, де обидві сторони залишаються в програші.

Хочеш дізнатися більше — читай відгуки