Devido a um erro de programação, o ransomware Nitrogen criptografa permanentemente os arquivos das vítimas.

Especialistas em cibersegurança geralmente aconselham as vítimas a não pagarem resgates, mas esse conselho é especialmente relevante para aqueles que foram vítimas do grupo Nitrogen. Recuperar seus dados deles é impossível.

Fonte da imagem: Cybersecuritynews.com

De acordo com a Coveware, que analisou a estrutura interna do ransomware Nitrogen, um erro de programação no código do malware impede a vítima de recuperar os arquivos usando um decodificador, tornando o pagamento do resgate inútil.

Essa descoberta diz respeito especificamente a um malware de um grupo que tem como alvo sistemas VMware ESXi. A Coveware observa que o programa criptografa os arquivos com uma chave pública inválida, impossibilitando a descriptografia pelos criminosos, mesmo que a vítima pague pela ferramenta de descriptografia.

O malware Nitrogen comete um erro ao carregar uma nova variável QWORD na memória que se sobrepõe à chave pública. Como o malware carrega a chave pública no deslocamento rsp+0x20 e o QWORD de 8 bytes no deslocamento rsp+0x1c, ele sobrescreve os quatro primeiros bytes da chave pública, o que significa que o decodificador fornecido pelo atacante não funcionará.

“Normalmente, quando um par de chaves pública/privada Curve25519 é gerado, primeiro é gerada uma chave privada e, em seguida, a partir dela é derivada uma chave pública. A chave pública corrompida resultante não foi gerada a partir da chave privada, mas sim pela sobrescrita acidental de vários bytes de outra chave pública. Como resultado, ninguém sabe qual é a chave privada correspondente à chave pública corrompida”, afirmou a Coveware.

O grupo Nitrogen está ativo desde 2023. De acordo com a Coveware, ele surgiu inicialmente após o vazamento do construtor Conti, assim como muitos outros grupos que usaram esse código como base. Segundo a especialista em cibersegurança Barracuda Networks, o Nitrogen está gradualmente…evoluiu para um grupo de ransomware completo. Inicialmente, desenvolvia malware para facilitar o acesso inicial de outros hackers (embora o próprio grupo não vendesse acesso). O grupo começou a extorquir organizações de forma independente por volta de setembro de 2024.

Mesmo com esta última descoberta, que entrará para a história como um dos maiores fracassos de gangues de ransomware, é difícil achar graça nisso. A falha no código empurra essa gangue de ransomware, motivada por dinheiro, para um cenário de puro desastre, onde ambos os lados saem perdendo.