Cos'è il ransomware Nitrogen??
Ora i tuoi file hanno l'estensione .nba, c'è un file readme.txt sul tuo desktop e in ogni cartella che è stata toccata, e la tua attività si è completamente fermata: sei stato colpito dal ransomware Nitrogen.. Leggi subito questo articolo per capire esattamente cos'è l'azoto, come è entrato, e quali sono le tue effettive opzioni di recupero, quindi segui subito la guida qui sotto.
L'azoto è una sofisticata doppia estorsione famiglia ransomware che è emerso per la prima volta come operazione di caricamento malware in 2023 e si è evoluta in un'operazione ransomware completamente indipendente entro la metà del 2024. Si rivolge alle organizzazioni del settore edile., servizi finanziari, produzione, e tecnologia — con la maggior parte degli incidenti concentrati negli Stati Uniti, Canada, e il Regno Unito. Ciò che rende Nitrogen particolarmente pericoloso è un difetto di programmazione critico scoperto a febbraio 2026 dai ricercatori di Coveware: Il crittografatore ESXi di Nitrogen contiene un errore di gestione della memoria che corrompe la chiave pubblica utilizzata per crittografia vittime’ file — il che significa che anche se paghi il riscatto, Gli stessi aggressori sono matematicamente incapaci di decifrare i file ospitati su ESXi.. Pagare Nitrogen non è solo sconsigliabile — negli ambienti ESXi, è letteralmente inutile.
Panoramica sul ransomware Nitrogen
| Tipo | Ransomware a doppia estorsione / Adatto per ambienti Windows e VMware ESXi.. Derivato da informazioni trapelate da Conti 2 codice sorgente. |
| Sintomi | File crittografati con estensione .nba. richiesta di riscatto denominato readme.txt lasciato sul desktop e in ogni cartella interessata. Backup disabilitati o eliminati. Gli strumenti di sicurezza hanno interferito con. I file crittografati con ESXi sono irrecuperabili in modo permanente: nemmeno gli aggressori possono decifrarli.. |
| Tempo di rimozione | Circa 15 minuti per una scansione completa del sistema |
| Strumento di rimozione |
Verifica se il tuo sistema è stato interessato da malware
Scarica
Strumento di rimozione malware
|
Come ho fatto a contrarre il ransomware Nitrogen??
Nitrogen si insinua nelle reti attraverso una combinazione di pubblicità ingannevole e download silenziosi e furtivi: non aspetta che tu faccia qualcosa di palesemente sbagliato.. Ecco come in genere ottiene l'accesso iniziale:
- pubblicità dannoso (malvertising) — Il principale vettore di infezione dell'azoto è pubblicità dannoso sui principali motori di ricerca come Google e Bing. Gli aggressori acquistano annunci pubblicitari che indirizzano le vittime verso siti web fraudolenti che imitano i download di software legittimi: le pagine simili a FileZilla ne sono un esempio confermato.. Facendo clic sul pulsante di download falso si ottiene un payload maligno travestito da installatore legittimo.
- Drive-by download — Visitare un sito web compromesso o contraffatto può attivare il download nascosto e l'esecuzione silenziosa del malware Nitrogen loader — non è necessario fare clic, soprattutto su sistemi con plugin del browser obsoleti.
- Campagne di phishing - Phishing Anche le email con link a false pagine di download di software vengono utilizzate per distribuire il loader iniziale, in particolare negli attacchi mirati contro organizzazioni specifiche.
- Software gratuito e software pirata — Download in corso Gratuito o il software pirata da fonti non ufficiali rimane una via di infezione affidabile per Nitrogen, con il caricatore nascosto all'interno degli installatori tramite bundling software.
Cosa fa il ransomware Nitrogen??
L'azoto è progettato per infliggere il massimo danno con una rilevazione minima. Una volta che il caricatore avrà preso piede nel tuo sistema, l'attacco completo si svolge in fasi:
- Ricognizione e movimento laterale — Prima di distribuire il ransomware, Gli operatori dell'azoto dedicano del tempo alla mappatura della tua rete, credenziali di raccolta, e identificando risorse critiche come host ESXi e server di backup utilizzando strumenti come Advanced IP Scanner e Cobalt Strike..
- Esfiltrazione di dati — I dati sensibili vengono esfiltrati nell'infrastruttura di Nitrogen — tipicamente server in Bulgaria — prima di qualsiasi crittografia inizia, consentendo la doppia minaccia di estorsione: Paga o i tuoi dati verranno pubblicati.
- Crittografia di file con estensione .nba — Il file binario del ransomware viene eseguito e aggiunge l'estensione .nba a tutti i file crittografati. La richiesta di riscatto Il file chiamato readme.txt viene posizionato sul desktop e in ogni cartella interessata e contiene le istruzioni per contattare gli aggressori tramite Tor Browser o l'app qTox.. La crittografia utilizza cifra algoritmi derivati dal Conti trapelato 2 codice sorgente.
- Bug di crittografia di ESXi: perdita permanente dei dati — Negli ambienti ESXi, un errore di programmazione nel malware di Nitrogen corrompe la chiave pubblica utilizzata durante crittografia sovrascrivendo 4 byte di esso con zeri. Il risultato chiave di decrittazione La situazione è matematicamente irreversibile: non esiste alcuna chiave privata corrispondente alla chiave pubblica corrotta., Ciò significa che i file crittografati da ESXi non possono essere recuperati da nessuno., compresi gli aggressori. Questa non è una soluzione temporanea, ma una perdita di dati permanente per gli ambienti ESXi privi di backup validi..
- Elusione e pulizia — L'azoto disabilita i backup, interferisce con gli strumenti di sicurezza, cancella i registri eventi di sistema, e utilizza il codice offuscatore tecniche che includono l'utilizzo di stringhe impilate per eludere il rilevamento e complicare l'analisi forense.
Se i tuoi server ESXi sono stati crittografati da Nitrogen e non disponi di backup offline puliti, Devi accettare che quei file sono persi: pagare non li recupererà.. Per i file crittografati da Windows, A seconda dello specifico campione di malware utilizzato, potrebbero essere ancora disponibili delle opzioni di ripristino.. Prima di intraprendere qualsiasi percorso di ripristino, è essenziale un'analisi forense dell'esatta variante del malware..
Che cosa si deve fare?
Isolare immediatamente tutti i sistemi interessati., conservare i campioni di malware utilizzati nell'attacco, e non pagare il riscatto per i file crittografati di ESXi: non funzionerà. Per ambienti crittografati Windows, A seconda della variante, potrebbe essere possibile un certo recupero.. Seguite subito la guida completa per la rimozione e il ripristino riportata di seguito e, se la vostra organizzazione non dispone delle capacità interne per gestire la situazione in sicurezza, contattate degli specialisti in gestione degli incidenti..
Ventsislav Krastev
Da allora Ventsislav è un esperto di sicurezza informatica di SensorsTechForum 2015. Ha fatto ricerche, copertura, aiutare le vittime con le ultime infezioni da malware oltre a testare e rivedere il software e gli ultimi sviluppi tecnologici. Avendo Marketing laureato pure, Ventsislav ha anche la passione per l'apprendimento di nuovi turni e innovazioni nella sicurezza informatica che diventano un punto di svolta. Dopo aver studiato la gestione della catena del valore, Amministrazione di rete e amministrazione di computer delle applicazioni di sistema, ha trovato la sua vera vocazione nel settore della cibersicurezza ed è un convinto sostenitore dell'educazione di ogni utente verso la sicurezza online.
Seguimi: