Специалисты в области кибербезопасности часто рекомендуют пострадавшим от программ-вымогателей не перечислять деньги злоумышленникам, и эта рекомендация становится особенно важной для тех, кто столкнулся с группой Nitrogen. Восстановить свои данные после их атаки не получится.
Источник изображения: Cybersecuritynews.com
Как сообщает компания Coveware, изучившая внутреннее устройство этого вредоносного ПО, программная ошибка в коде Nitrogen делает бесполезными попытки вернуть файлы с помощью дешифратора, поэтому выплата выкупа не имеет смысла.
Данное заключение относится именно к версии вредоносной программы, нацеленной на системы VMware ESXi. Аналитики Coveware указывают, что программа шифрует данные с использованием некорректного открытого ключа, что делает последующую расшифровку невозможной даже для самих преступников, если жертва приобретёт у них дешифратор.
Ошибка в коде Nitrogen возникает при загрузке в память новой переменной типа QWORD, которая накладывается на область открытого ключа. Поскольку вредоносная программа загружает открытый ключ по смещению rsp+0x20, а 8-байтовая переменная QWORD — по смещению rsp+0x1c, происходит перезапись первых четырёх байтов ключа. В результате предоставленный злоумышленниками инструмент для расшифровки оказывается неработоспособным.
«Обычно при генерации пары ключей Curve25519 сначала создаётся закрытый ключ, а на его основе вычисляется открытый. В данном же случае повреждённый открытый ключ был получен не из закрытого, а путём ошибочной перезаписи части байтов другого открытого ключа. Следовательно, никому не известен соответствующий ему закрытый ключ», — пояснили в Coveware.
Группировка Nitrogen ведёт активность с 2023 года. По информации Coveware, она, как и многие другие, изначально сформировалась на основе утекшего в сеть билдера Conti. Как отмечают эксперты Barracuda Networks, со временем Nitrogen эволюционировала в самостоятельную группу, занимающуюся вымогательством. Изначально она разрабатывала вредоносное ПО для облегчения первоначального проникновения другим хакерам (сама группа доступы на продажу не выставляла). К самостоятельным атакам на организации с требованием выкупа группа приступила примерно в сентябре 2024 года.
Даже с учётом этого недавнего открытия, которое, несомненно, войдёт в историю как один из самых громких провалов в сфере цифрового вымогательства, ситуацию сложно назвать забавной. Ошибка в коде переводит действия этой финансово мотивированной преступной группы в плоскость полного фиаско, где в проигрыше остаются все стороны.
