Атаки ransomware зазвичай передбачають можливість відновлення даних після сплати викупу. Однак у випадку з Nitrogen ransomware для VMware ESXi це правило не працює: дослідники компанії Coveware виявили критичну помилку в реалізації криптографії, через яку розшифрування файлів є математично неможливим, навіть якщо зловмисники надають «офіційний» дешифратор.
Як працює критична помилка в шифрувальнику Nitrogen для ESXi
Проблема стосується саме версії Nitrogen ransomware, орієнтованої на гіпервізори VMware ESXi. Під час аналізу шифрувальника експерти виявили, що шкідливе ПЗ застосовує некоректний публічний ключ при шифруванні даних. У результаті приватний ключ, який є у зловмисників, не відповідає фактично використаному публічному ключу, а отже, жоден технічно можливий ключ не здатен розблокувати зашифровані файли.
Збій при використанні Curve25519 та пошкодження публічного ключа
Nitrogen використовує еліптичну криптографію на кривій Curve25519 — сучасний алгоритм, який широко застосовується у протоколах захищеного обміну ключами. У коректній реалізації спочатку генерується приватний ключ, на його основі обчислюється публічний, і ця пара жорстко пов’язана математично.
У дослідженій версії Nitrogen було виявлено помилку роботи з пам’яттю. Під час виконання шкідливий код завантажує у стек нову змінну типу QWORD (8 байт), яка частково перезаписує початок публічного ключа. Публічний ключ зберігається за адресою зі зміщенням rsp+0x20, тоді як нове 8-байтове значення записується за rsp+0x1c. Ці діапазони перекриваються, тому перші 4 байти публічного ключа пошкоджуються випадковими даними.
Такий модифікований публічний ключ не є результатом обчислення з будь-якого реального приватного ключа. Як підкреслюють дослідники, не існує приватного ключа, який би математично відповідав цьому «зіпсованому» публічному ключу. Отже, навіть при повній «добросовісності» з боку операторів Nitrogen і наданні ними дешифратора, відновити інформацію неможливо в принципі.
Чому Nitrogen на VMware ESXi створює максимальний ризик для бізнесу
Версія Nitrogen ransomware для ESXi є особливо небезпечною, оскільки цілить не в окремі робочі станції, а у централізовану віртуалізаційну платформу. Один скомпрометований ESXi-хост часто підтримує десятки віртуальних машин, на яких працюють:
— системи керування базами даних;
— файлові сервери та сховища документів;
— сервери резервного копіювання;
— критичні бізнес-додатки.
Уразливий ESXi фактично є «єдиною точкою відмови». Коли ниткою Nitrogen шифрується файлове сховище такого хоста, наслідки для організації можна порівняти з повною зупинкою ІТ-інфраструктури. Через згадану помилку в шифрувальнику сплата викупу не дає навіть теоретичного шансу на відновлення доступу. Компанії без актуальних резервних копій опиняються в ситуації повної та остаточної втрати даних.
Походження Nitrogen ransomware та еволюція угруповання
За даними Coveware, угруповання Nitrogen активне щонайменше з 2023 року та належить до фінансово мотивованих кіберзлочинних груп. Вважається, що воно сформувалося на базі витоку билдера Conti ransomware, після якого на сцені з’явилася низка нових сімейств вимагачів, що переробили й розвинули вихідний код.
Аналітики Barracuda Networks відзначали, що з часом Nitrogen пройшла шлях від постачальника інструментів для первинного доступу до повноцінної ransomware-групи. Спочатку акцент робився на продажі засобів проникнення іншим зловмисникам, але орієнтовно з вересня 2024 року група перейшла до прямих вимагачівських операцій під власним брендом, включно з атаками на VMware ESXi.
Як реагувати на атаки Nitrogen та посилити захист VMware ESXi
Головний практичний висновок з виявленої помилки очевидний: сплата викупу у випадку зараження Nitrogen для ESXi не має сенсу. Навіть якщо нападники надсилають ключі та утиліти, криптографічний дефект робить процес розшифрування безрезультатним.
Організаціям, які підозрюють атаку Nitrogen, варто негайно залучити фахівців з цифрової криміналістики та реагування на інциденти (DFIR) для точної ідентифікації сімейства шкідливого ПЗ, фіксації артефактів, аналізу масштабу компрометації та оцінки реальних можливостей відновлення.
Ключовим запобіжним інструментом лишається стратегія резервного копіювання. До кращих практик, які рекомендують галузеві стандарти кібербезпеки, належать:
— використання офлайн- або іммутабельних (захищених від змін) бекапів;
— зберігання копій у розділених сховищах з окремими обліковими записами;
— регулярне тестування відновлення, а не лише створення резервних копій.
Для зниження ризику атак на VMware ESXi доцільно впровадити комплекс технічних і організаційних заходів:
- своєчасно встановлювати оновлення безпеки для гіпервізорів ESXi та пов’язаних компонентів;
- максимально обмежити прямий доступ до ESXi-хостів з інтернету, використовувати VPN та жорстко контролювати автентифікацію;
- застосовувати принцип найменших привілеїв та багатофакторну автентифікацію для адміністраторів та сервісних облікових записів;
- розгортати рішення класу EDR/XDR і централізований лог-менеджмент для раннього виявлення аномальної активності;
- регулярно проводити навчальні вправи з реагування на інциденти, відпрацьовуючи, зокрема, сценарії компрометації ESXi.
Історія з Nitrogen ransomware демонструє, що навіть у арсеналі професійних кіберзлочинців трапляються критичні помилки розробки. Проте для постраждалих компаній це не полегшення, а додатковий ризик: збій у шифрувальнику перетворює традиційну атаку-вимагач на безповоротне знищення даних. Саме тому організаціям, які покладаються на VMware ESXi та інші платформи віртуалізації, варто вже сьогодні переглянути стратегії резервного копіювання, посилити сегментацію мережі, оновити процедури реагування на інциденти та підвищити обізнаність персоналу, щоб мінімізувати наслідки неминучих атак у майбутньому.
