【安全资讯】勒索软件团伙Nitrogen因编程错误导致自身无法解密受害者文件

概要：

在网络安全领域，勒索软件攻击持续对全球企业构成严重威胁，但攻击者自身的技术失误有时会带来意想不到的转折。近期，安全公司Coveware披露，勒索软件团伙Nitrogen因其恶意软件中存在一个关键的编程错误，导致即使受害者支付赎金，攻击者也无法提供有效的解密工具来恢复文件。这一事件凸显了勒索软件攻击的破坏性本质，并警示组织不应屈服于此类威胁。

主要内容：

Coveware在深入分析Nitrogen团伙的勒索软件程序后发现，该恶意软件在加密过程中存在一个根本性的编程缺陷。该勒索软件主要针对VMware ESXi环境，其错误在于使用错误的公钥对文件进行加密。具体来说，恶意代码在内存中加载一个新的8字节QWORD变量时，其内存地址与存储公钥的地址发生重叠，导致公钥的前四个字节被覆盖。

这一错误使得生成的加密公钥并非基于一个有效的私钥派生而来，而是由另一个公钥的部分字节错误覆盖后形成的。因此，实际上没有任何人（包括攻击者自己）拥有与这个已损坏的公钥相匹配的私钥。这意味着，即使受害者支付了赎金，攻击者提供的解密器也会因为无法匹配正确的密钥对而宣告失败。

Nitrogen团伙自2023年开始活跃，最初是借鉴了泄露的Conti 2勒索软件构建器代码的多个分支之一。根据Barracuda Networks的报告，该组织逐渐演变为一个勒索软件团伙，最初开发用于为其他攻击者提供初始访问的恶意软件，并于2024年9月左右开始直接对组织进行勒索。尽管其攻击规模并非最大，但此次事件表明，其操作存在严重的技术漏洞。

此次事件将Nitrogen团伙置于一个纯粹的破坏性境地，使得攻击者和受害者双方均成为输家。它不仅造成了受害者的数据损失，也暴露了该犯罪团伙在软件开发能力上的不足，为防御方提供了一个罕见的、攻击者“自毁”的案例。安全专家再次强调，向此类犯罪团伙支付赎金不仅助长犯罪，而且在技术上也可能是徒劳的。