MWC 2018
2018
Computex
IFA 2018
Эксперты по кибербезопасности обычно советуют жертвам не платить выкуп мошенникам, использующим программы-вымогатели, но этот совет особенно актуален для тех, кто стал жертвой группы Nitrogen. Вернуть свои данные от них невозможно.
Источник изображения: Cybersecuritynews.com
По данным Coveware, которая изучила внутреннюю структуру программы-вымогателя Nitrogen, программная ошибка в коде этого вредоносного ПО препятствует восстановлению файлов жертвы с помощью дешифратора, поэтому платить выкуп бесполезно.
Это открытие касается конкретно вредоносной программы группы, нацеленной на системы с VMware ESXi. Coveware отмечает, что программа шифрует файлы с неправильным открытым ключом, что делает невозможным их расшифровку для преступников, даже если жертва заплатит за инструмент расшифровки.
Вредоносная программа Nitrogen допускает ошибку при загрузке в память новой переменной типа QWORD, которая перекрывается с открытым ключом. Поскольку вредоносная программа загружает открытый ключ по смещению rsp+0x20, а 8-байтовое QWORD — по смещению rsp+0x1c, она перезаписывает первые четыре байта открытого ключа, что означает, что предоставленный злоумышленником дешифратор не сработает.
«Обычно, когда генерируется пара открытого и закрытого ключей Curve25519, сначала генерируется закрытый ключ, а затем на его основе выводится открытый ключ. Полученный в результате повреждённый открытый ключ был сгенерирован не на основе закрытого ключа, а путём ошибочной перезаписи нескольких байтов другого открытого ключа. В итоге никто на самом деле не знает закрытый ключ, который соответствует поврежденному открытому ключу», — заявили в Coveware.
Группировка Nitrogen действует с 2023 года. По данным Coveware, изначально она возникла после утечки в сеть билдера Conti, как и множество других групп, взявших этот код за основу. По данным Barracuda Networks, специализирующейся на кибербезопасности, постепенно Nitrogen превратилась в полноценную группу, занимающуюся вымогательством. Сначала она разрабатывала вредоносное ПО для облегчения первоначального доступа другим хакерам (хотя сама группа не продавала доступы). Вымогательством у организаций группа начала заниматься самостоятельно примерно в сентябре 2024 года.
Даже с учётом этого последнего открытия, которое войдёт в историю как один из эпических провалов банд, занимающихся вымогательством, трудно найти в этом что-то смешное. Ошибка в коде выводит эту мотивированную на финансовую выгоду банду, занимающуюся вымогательством, в область чистой катастрофы, где обе стороны остаются в проигрыше.
Источник:
