Исследователи компании Coveware обнаружили критическую ошибку в шифровальщике Nitrogen ransomware, нацеленном на серверы VMware ESXi. Из-за дефекта в реализации криптографии зашифрованные данные невозможно расшифровать даже при наличии «официального» инструмента от злоумышленников. Фактически каждая такая атака превращается не в вымогательство, а в необратимое уничтожение данных.
Ошибка в шифровальщике Nitrogen: почему расшифровка файлов невозможна
Проблема затрагивает версию Nitrogen ransomware для VMware ESXi. В ходе анализа специалисты Coveware выяснили, что вредоносное ПО шифрует данные с использованием некорректного публичного ключа. В результате никакой приватный ключ, находящийся у злоумышленников, не соответствует фактически применённому публичному ключу, а значит, расшифровка файлов принципиально невозможна.
Как реализована ошибка в ключах Curve25519
Для шифрования Nitrogen использует эллиптическую криптографию на кривой Curve25519, где обычно сначала генерируется приватный ключ, а затем на его основе вычисляется публичный. В корректной реализации эта пара жёстко связана: зная приватный ключ, можно расшифровать данные, зашифрованные соответствующим публичным.
В случае Nitrogen исследователи обнаружили сбой на уровне работы с памятью. Вредонос загружает в стек новую переменную типа QWORD (8 байт), которая частично перезаписывает начало публичного ключа. Публичный ключ размещается по смещению rsp+0x20, а затем по адресу rsp+0x1c записывается 8-байтовое значение. Поскольку диапазоны пересекаются, первые четыре байта публичного ключа повреждаются.
Такой «испорченный» публичный ключ не был вычислен из какого-либо приватного ключа — он сформирован случайной перезаписью нескольких байт. Как подчёркивает Coveware, в итоге не существует приватного ключа, который математически соответствует повреждённому публичному ключу. Следовательно, даже при готовности жертвы заплатить и при наличии «дешифратора» от злоумышленников восстановление данных невозможно.
Цели Nitrogen: VMware ESXi и риск для виртуальной инфраструктуры
Версия Nitrogen ransomware для ESXi представляет особую угрозу, поскольку затрагивает инфраструктуру виртуализации. Один скомпрометированный ESXi‑хост часто обслуживает десятки критически важных виртуальных машин: базы данных, файловые сервера, системы резервного копирования, элементы бизнес-приложений. При шифровании таких хостов ущерб для организации может быть сопоставим с полной остановкой ИТ‑ландшафта.
При этом, из-за ошибки в шифровальщике, выкуп перестаёт быть даже теоретическим способом восстановления доступности. Жертвы, не располагающие актуальными резервными копиями, оказываются в ситуации полной и окончательной потери данных. Это усиливает важность стратегий резервного копирования и сегментации инфраструктуры, особенно для предприятий, активно использующих VMware ESXi.
Эволюция группировки Nitrogen и происхождение кода
Согласно данным Coveware, группировка Nitrogen активна с 2023 года и относится к финансово мотивированным киберпреступным группам. Предполагается, что она появилась после утечки в открытый доступ билдера вымогателя Conti. На базе этого кода сформировалось множество новых группировок, в том числе Nitrogen, адаптировавших и развивавших исходные наработки.
Исследователи Barracuda Networks отмечали, что с течением времени Nitrogen эволюционировала из поставщика вредоносного ПО для первичного доступа в полноценную вымогательскую группу. На раннем этапе она выпускала инструменты проникновения для других атакующих, не занимаясь самостоятельным шантажом. Однако примерно к сентябрю 2024 года группа перешла к прямым вымогательским операциям, атакуя организации и требуя выкуп от своего имени.
Практические выводы: как реагировать на атаки Nitrogen и защищать ESXi
Выявленная ошибка в шифровальщике Nitrogen для ESXi имеет важное последствие для реагирования на инциденты: выплата выкупа в таких случаях лишена практического смысла. Даже если преступники действуют «добросовестно» и отправляют жертве все обещанные инструменты, данные остаются недоступными из-за криптографической несостоятельности реализации.
При подозрении на атаку Nitrogen организациям рекомендуется незамедлительно привлечь специалистов по цифровой криминалистике и реагированию на инциденты (DFIR), чтобы точно идентифицировать семейство вредоносного ПО, зафиксировать артефакты атаки и оценить реальные шансы на восстановление. Одновременно критично важно иметь устойчивую стратегию резервного копирования: офлайн‑бэкапы, разделение хранилищ, регулярное тестирование восстановления.
Для снижения риска атак на VMware ESXi целесообразно:
- поддерживать гипервизоры и плагины в актуальном состоянии, своевременно устанавливая патчи безопасности;
- ограничить прямой доступ к ESXi‑хостам из интернета, использовать VPN и жёстко контролировать аутентификацию;
- минимизировать права учётных записей и применять многофакторную аутентификацию для администраторов;
- развёртывать средства EDR/XDR и централизованный лог‑менеджмент для раннего выявления подозрительной активности;
- регулярно проводить учения по реагированию на инциденты, включая сценарии компрометации ESXi.
История с Nitrogen наглядно показывает, что даже в арсенале киберпреступников встречаются критические ошибки разработки. Однако для пострадавших организаций это не повод для облегчения: при отсутствии резервных копий баг в шифровальщике превращает атаку в необратимое уничтожение данных. Для компаний, использующих VMware ESXi и другие критичные платформы виртуализации, приоритетом должно стать упреждающее укрепление киберустойчивости — от инвентаризации и защиты инфраструктуры до регулярного обучения персонала и отработки планов реагирования.
