Nitrogen ransomware programmers lock themselves out of a payment — key management bug encrypts victims' data forever | Tom's HardwareTom's Hardware

برنامه‌نویسان باج‌افزار Nitrogen خود را از دریافت باج محروم کردند

هر کسی که قربانی حمله باج‌افزاری شده باشد، می‌تواند به شما بگوید که روز خوبی نداشته است. اما اگر آن روز نه تنها برای قربانی، بلکه برای مهاجم نیز وحشتناک باشد، چه؟ به لطف یک باگ کدنویسی، این دقیقاً همان چیزی است که در مورد گونه‌ای از باج‌افزار گروه Nitrogen رخ داده است؛ باج‌افزاری که داده‌های هدف را رمزگذاری می‌کند و به معنای واقعی کلمه کلید را دور می‌اندازد و داده‌ها را کاملاً غیرقابل بازیابی می‌کند.

باج‌افزار دقیق مورد بحث، گونه VMware ESXi از Nitrogen است که هایپروایزرها (سرورهای میزبان ماشین مجازی) را هدف قرار می‌دهد و احتمالاً ماشین‌های مجازی موجود در آن‌ها را رمزگذاری می‌کند. حملات هایپروایزر جدید نیستند و تحلیل‌های موجود نشان می‌دهد که در حالی که مدیران سیستم عموماً در استقرار حفاظت از نقاط پایانی بر روی سیستم‌عامل‌های میزبان خوب عمل می‌کنند، گاهی اوقات سیاست‌های سهل‌گیرانه‌ای در مورد هایپروایزرها دارند.

آنچه این موضوع در نهایت برای قربانیان این گونه خاص به معنای آن است، این است که نیازی به پرداخت باج درخواستی گروه ندارند، زیرا هیچ‌کس قادر به رمزگشایی داده‌ها نخواهد بود. تنها راه حل موجود، بازیابی آخرین نسخه‌های پشتیبان است. اگر نسخه‌های پشتیبان وجود نداشته باشند، تنها گزینه باقی‌مانده احتمالاً مشاوره سوگ است.

در سطح فنی، آنچه اتفاق می‌افتد این است که در ابتدای مرحله رمزگذاری داده، بخشی از کلید عمومی رمزگذاری با صفرها (۸ بایت یا ۶۴ بیت) بازنویسی می‌شود. از آنجایی که کلیدهای عمومی و خصوصی همیشه جفت‌های خاصی هستند، این بدان معناست که هیچ‌کس نمی‌داند کدام کلید خصوصی با کلید عمومی اکنون خراب شده مطابقت دارد، با فرض اینکه چنین کلیدی اصلاً بتواند به صورت محاسباتی وجود داشته باشد. بررسی فنی عمیق Veeam در مورد این مشکل این تصور را ایجاد می‌کند که این باگ یک خطای رایج “off-by-one” بوده است.

گزارش Veeam به قربانیان این گونه خاص ESXi اشاره‌ای نمی‌کند، اما کمپین Nitrogen از سال ۲۰۲۳ فعال بوده است. این کمپین موسسات مالی آمریکای شمالی، شرکت‌های مکانیکی و صنعتی، و حتی توسعه‌دهنده سری Outlast، یعنی Red Barrel را هدف قرار داده است.

درخواست باج اگر نتوانید آن را دریافت کنید، فایده چندانی ندارد. به لطف آنچه احتمالاً یک اشتباه تایپی از سوی یک توسعه‌دهنده بوده است، جهان یک نمونه واضح از تخریب متقابل تضمین‌شده ناخواسته را مشاهده کرد.