¿Qué es el ransomware Nitrogen??
Tus archivos ahora tienen la extensión .nba, Hay un archivo readme.txt en tu escritorio y en cada carpeta que se haya modificado., y tu negocio se ha paralizado: has sido víctima del ransomware Nitrogen.. Lee este artículo ahora mismo para entender exactamente qué es el nitrógeno., cómo entró, y cuáles son sus opciones reales de recuperación., Luego, siga la guía a continuación inmediatamente..
El nitrógeno es una sofisticada doble extorsión. familia ransomware que surgió por primera vez como una operación de carga de malware en 2023 y se convirtió en una operación de ransomware totalmente independiente a mediados de 2024.. Está dirigido a organizaciones de todo el sector de la construcción., servicios financieros, fabricación, y tecnología, con la mayoría de los incidentes concentrados en los EE. UU., Canada, y el Reino Unido. Lo que hace que Nitrogen sea particularmente peligroso es un fallo de programación crítico descubierto en febrero. 2026 por investigadores de Coveware: El cifrador ESXi de Nitrogen contiene un error de gestión de memoria que corrompe la clave pública utilizada para cifrado víctimas’ archivos, lo que significa que incluso si pagas el rescate, Los atacantes son matemáticamente incapaces de descifrar sus archivos alojados en ESXi.. Pagar con nitrógeno no solo es desaconsejable, sino que también es recomendable en entornos ESXi., Es literalmente inútil..
Breve descripción general del ransomware Nitrogen
| Escribe | Ransomware de doble extorsión / Dirigido a entornos Windows y VMware ESXi.. Derivado de información filtrada de Conti 2 código fuente. |
| Los síntomas | Archivos cifrados con la extensión .nba. Nota de rescate Se dejó el archivo llamado readme.txt en el escritorio y en cada carpeta afectada.. Copias de seguridad desactivadas o eliminadas. Las herramientas de seguridad interfirieron con. Los archivos cifrados por ESXi son irrecuperables de forma permanente; ni siquiera los atacantes pueden descifrarlos.. |
| Tiempo de eliminación | Aproximadamente 15 minutos para un análisis completo del sistema |
| Herramienta de eliminación |
Ver si su sistema ha sido afectado por malware
Descargar
Herramienta de eliminación de software malintencionado
|
¿Cómo contraje el ransomware Nitrogen??
Nitrogen se introduce en las redes mediante una combinación de publicidad engañosa y descargas automáticas silenciosas; no espera a que hagas algo obviamente incorrecto.. Así es como normalmente obtiene acceso inicial.:
- la publicidad maliciosa (publicidad maliciosa) — El principal vector de infección del nitrógeno es publicidad maliciosa en los principales motores de búsqueda como Google y Bing. Los atacantes compran anuncios que dirigen a las víctimas a sitios web fraudulentos que imitan descargas de software legítimo; las páginas que imitan a FileZilla son un ejemplo confirmado.. Al hacer clic en el botón de descarga falso se obtiene un carga maliciosa disfrazado de instalador legítimo.
- Drive-by descargas — Visitar un sitio web comprometido o falsificado puede desencadenar una descarga oculta y la ejecución silenciosa del malware Nitrogen Loader; no es necesario hacer clic., especialmente en sistemas con complementos de navegador obsoletos.
- Campañas de phishing - Phishing Los correos electrónicos con enlaces a páginas falsas de descarga de software también se utilizan para entregar el cargador inicial., particularmente en ataques dirigidos contra organizaciones específicas.
- Software gratuito y software pirateado — Descargando Freeware o el software pirateado de fuentes no oficiales sigue siendo una ruta de infección fiable para Nitrogen., con el cargador oculto dentro de los instaladores a través de empaquetamiento de software.
¿Qué hace el ransomware Nitrogen??
El nitrógeno está diseñado para causar el máximo daño con la mínima detección.. Una vez que el cargador se afianza en su sistema, El ataque completo se desarrolla por etapas.:
- Reconocimiento y movimiento lateral — Antes de desplegar el ransomware, Los operadores de nitrógeno dedican tiempo a mapear su red., recolección de credenciales, y la identificación de activos críticos como hosts ESXi y servidores de respaldo mediante herramientas como Advanced IP Scanner y Cobalt Strike..
- Exfiltración de datos — Los datos confidenciales se extraen a la infraestructura de Nitrogen —normalmente servidores en Bulgaria — antes de cualquier cifrado comienza, posibilitando la doble amenaza de extorsión: Paga o tus datos serán publicados..
- Cifrado de archivos con extensión .nba — El binario del ransomware se ejecuta y añade la extensión .nba a todos los archivos cifrados.. La nota de rescate El archivo llamado readme.txt se coloca en el escritorio y en cada carpeta afectada con instrucciones para contactar a los atacantes a través del navegador Tor o la aplicación qTox.. El cifrado utiliza cifrar algoritmos derivados de la filtración de Conti 2 código base.
- Error de cifrado de ESXi: pérdida permanente de datos — En entornos ESXi, un error de codificación en el malware de Nitrogen corrompe la clave pública utilizada durante cifrado sobrescribiendo 4 bytes de ello con ceros. El resultado clave de descifrado La situación es matemáticamente irreversible: no existe ninguna clave privada que corresponda a la clave pública corrupta., lo que significa que los archivos cifrados de ESXi no pueden ser recuperados por nadie., incluidos los atacantes. Esto no es una solución temporal, sino una pérdida de datos permanente para los entornos ESXi que no cuenten con copias de seguridad viables..
- Evasión y limpieza — El nitrógeno desactiva las copias de seguridad, interfiere con las herramientas de seguridad, Borra los registros de eventos del sistema., y utiliza código ofuscador técnicas que incluyen cadenas de pila para evadir la detección y complicar el análisis forense.
Si sus servidores ESXi fueron cifrados por Nitrogen y no tiene copias de seguridad sin conexión limpias, Debes aceptar que esos archivos se han perdido; pagar no los recuperará.. Para archivos cifrados de Windows, Dependiendo de la muestra de malware específica utilizada, aún pueden existir opciones de recuperación.. El análisis forense de la variante exacta del malware es esencial antes de emprender cualquier camino de recuperación..
¿Qué debe hacer?
Aísle inmediatamente todos los sistemas afectados., conservar las muestras de malware utilizadas en el ataque, y no pague el rescate por los archivos cifrados de ESXi; no funcionará.. Para entornos cifrados de Windows, Dependiendo de la variante, puede ser posible cierta recuperación.. Siga la guía completa de eliminación y recuperación que se encuentra debajo de este artículo y, si su organización carece de la capacidad interna para manejar esto de forma segura, contacte a especialistas en respuesta a incidentes..
Ventsislav Krastev
Ventsislav es un experto en ciberseguridad en SensorsTechForum desde 2015. El ha estado investigando, cubierta, ayudando a las víctimas con las últimas infecciones de malware, además de probar y revisar software y los últimos desarrollos tecnológicos. Tener la comercialización graduado, así, Ventsislav también tiene pasión por aprender nuevos cambios e innovaciones en ciberseguridad que se conviertan en un cambio de juego.. Después de estudiar Value Chain Management, Administración de redes y administración de computadoras de aplicaciones del sistema, encontró su verdadero llamado dentro de la industria de la ciberseguridad y cree firmemente en la educación de cada usuario hacia la seguridad en línea.
Sígueme: