Eine von der Sicherheitsfirma Coveware analysierte Variante der Nitrogen Ransomware, die gezielt VMware ESXi-Server angreift, weist einen gravierenden Implementierungsfehler in der Kryptografie auf. Die Folge: Verschlüsselte Daten lassen sich selbst mit dem offiziellen Entschlüsselungstool der Angreifer nicht wiederherstellen. Aus einem klassischen Erpressungsangriff wird damit faktisch eine Form der endgültigen Datenvernichtung.
Nitrogen Ransomware auf VMware ESXi: Warum keine Entschlüsselung möglich ist
Der Fehler betrifft die speziell für VMware ESXi entwickelte Version der Nitrogen Ransomware. Coveware stellte fest, dass das Schadprogramm die Daten mit einem fehlerhaften öffentlichen Schlüssel verschlüsselt. Dieser Public Key stimmt kryptografisch mit keinem der von den Tätern verwalteten privaten Schlüssel überein.
In korrekt implementierten Ransomware-Familien wird zunächst ein privater Schlüssel erzeugt, aus dem dann der passende öffentliche Schlüssel abgeleitet wird. Nur so kann der Angreifer mithilfe des privaten Schlüssels die mit dem entsprechenden Public Key verschlüsselten Daten wieder entschlüsseln. Bei Nitrogen ist diese mathematische Beziehung jedoch durch einen Programmierfehler aufgehoben – die Entschlüsselung wird damit prinzipiell unmöglich.
Fehlerhafte Curve25519-Implementierung durch Speicherüberlappung
Nitrogen nutzt elliptische Kryptografie auf Basis der Kurve Curve25519, einem in modernen Protokollen weit verbreiteten Verfahren. Normalerweise garantiert dieses Verfahren, dass jeder öffentliche Schlüssel eindeutig zu einem privaten Schlüssel gehört. Genau diese Eigenschaft wird in der ESXi-Variante durch einen Bug im Speicherhandling zerstört.
Im Stack-Frame des Ransomware-Prozesses wird zunächst der öffentliche Curve25519-Schlüssel an einer bestimmten Speicheradresse (rsp+0x20) abgelegt. Anschließend schreibt das Programm ein neues 8‑Byte‑QWORD an die Adresse rsp+0x1c. Da sich diese Speicherbereiche überlappen, werden die ersten vier Bytes des zuvor gespeicherten Public Keys versehentlich überschrieben.
Der so „verunstaltete“ öffentliche Schlüssel wurde also nicht aus einem existierenden privaten Schlüssel abgeleitet, sondern ist das Ergebnis einer zufälligen Speicherbeschädigung. Wie Coveware betont, existiert kein privater Schlüssel, der mathematisch zu diesem defekten Public Key passt. Selbst wenn Opfer zahlen und die Angreifer ihren Decryptor bereitstellen, bleiben die Daten damit dauerhaft unzugänglich.
ESXi unter Beschuss: Ransomware-Risiko für die virtuelle Infrastruktur
Die Nitrogen Ransomware für ESXi ist besonders kritisch, weil sie direkt die Virtualisierungsebene adressiert. Ein einzelner kompromittierter ESXi‑Host kann Dutzende geschäftskritische virtuelle Maschinen beherbergen – von Datenbank- und Dateiservern über Backup-Systeme bis zu Kernkomponenten von Business-Anwendungen.
Wird ein solcher Host verschlüsselt, gleicht der Schaden häufig einem flächendeckenden IT‑Stillstand. Erfahrungen aus früheren Kampagnen gegen ESXi‑Server – etwa der ESXiArgs-Welle – zeigen, dass Unternehmen weltweit zeitgleich betroffen sein können. Laut dem Verizon Data Breach Investigations Report 2023 ist Ransomware bereits heute für rund ein Viertel der erfassten Sicherheitsvorfälle verantwortlich; Angriffe auf Hypervisoren wie ESXi verstärken diese Wirkung, weil sie gleich ganze Cluster von Systemen treffen.
Durch den Kryptofehler in Nitrogen fällt zudem eine zentrale Option weg, auf die viele Betroffene bislang – wenn auch ungern – zurückgegriffen haben: die Zahlung des Lösegelds, um einen funktionierenden Decryptor zu erhalten. Ohne funktionsfähige und geprüfte Backups führt ein Nitrogen-Angriff auf ESXi damit direkt zu vollständigem und endgültigem Datenverlust.
Herkunft und Entwicklung von Nitrogen: Vom Conti-Leak zur Ransomware-Gruppe
Die Gruppe hinter Nitrogen gilt als finanziell motivierte Cybercrime-Organisation und ist seit 2023 aktiv. Nach Einschätzung von Coveware und anderen Forschern basiert der Code auf dem öffentlich geleakten Builder der Conti-Ransomware. Dieser Leak hat eine Vielzahl neuer Ransomware-Familien hervorgebracht, die den ursprünglichen Code anpassen und weiterentwickeln – Nitrogen ist eine davon.
Analysen von Barracuda Networks zeigen, dass Nitrogen zunächst vor allem als Anbieter von Malware für den Initial Access agierte, also Werkzeuge zum Erstzugriff für andere Angreifer bereitstellte. Spätestens seit etwa September 2024 tritt die Gruppe jedoch als eigenständige Ransomware-Operatoren auf, die Organisationen direkt kompromittieren und selbst Lösegeldforderungen stellen.
Handlungsempfehlungen: Incident Response und Schutz von ESXi-Servern
Die Schwachstelle im Nitrogen-Ransomware-Modul für ESXi hat eine klare Konsequenz für das Incident Handling: Lösegeldzahlungen sind in diesen Fällen technisch sinnlos, weil eine Entschlüsselung kryptografisch nicht möglich ist. Organisationen sollten diese Erkenntnis in ihre Entscheidungsprozesse und Kommunikationspläne für Ransomware-Vorfälle integrieren.
Bei einem Verdacht auf einen Nitrogen-Angriff ist es ratsam, sofort spezialisierte Digital Forensics & Incident Response (DFIR)-Teams einzubinden. Sie können das eingesetzte Ransomware-Familienmitglied verifizieren, Artefakte sichern, die Ausbreitung begrenzen und realistische Wiederherstellungsszenarien aufzeigen. Parallel dazu ist eine robuste Backup- und Wiederherstellungsstrategie unverzichtbar – inklusive Offline-Backups, physischer und logischer Trennung der Speicherziele sowie regelmäßigen Restore-Tests, wie sie unter anderem von ENISA und nationalen Sicherheitsbehörden empfohlen werden.
VMware ESXi absichern: Technische und organisatorische Maßnahmen
Um das Risiko eines ESXi-Ransomware-Angriffs zu minimieren, sollten Unternehmen ihre Hypervisoren systematisch härten und überwachen. Dazu gehören:
Aktives Patch-Management: ESXi‑Hosts, vCenter und alle zugehörigen Plug-ins müssen konsequent auf aktuellen Stand gebracht werden, um bekannte Schwachstellen zu schließen, die häufig als Einstiegspunkt für Ransomware dienen.
Strikte Zugriffskontrollen: Direkter Internetzugriff auf ESXi‑Managementoberflächen sollte unterbunden werden. Stattdessen sind VPN-Zugänge mit starker Authentifizierung, Multi-Faktor-Authentifizierung (MFA) und das Prinzip minimaler Rechte für Administratoren einzusetzen.
Transparenz und Erkennung: Der Einsatz von EDR/XDR-Lösungen und zentralisiertem Log-Management erleichtert die frühzeitige Erkennung verdächtiger Aktivitäten, etwa unerwarteter Shell-Kommandos auf dem ESXi-Host, dem massenhaften Löschen von Snapshots oder dem Ausrollen unbekannter Skripte und ELF-Binaries.
Geübte Reaktionsfähigkeit: Regelmäßige Notfallübungen, in denen explizit ein kompromittierter ESXi‑Host simuliert wird, helfen dabei, Wiederanlaufpläne, Rollenverteilung und Kommunikationswege zu testen und zu optimieren.
Der Fall Nitrogen verdeutlicht, dass selbst gravierende Programmierfehler im Code von Angreifern für betroffene Unternehmen kein Grund zur Entwarnung sind. Im Gegenteil: Ohne belastbare Backups verwandelt ein Kryptofehler den Erpressungsversuch in eine irreversible Datenvernichtung. Organisationen, die VMware ESXi oder andere zentrale Virtualisierungsplattformen einsetzen, sollten Ransomware daher nicht als reines Entschlüsselungsproblem verstehen, sondern als Frage ihrer grundlegenden Cyber-Resilienz – von der Härtung der Infrastruktur über konsistente Backup-Konzepte bis hin zur kontinuierlichen Sensibilisierung der Mitarbeitenden.
