Ransomware Nitrogen: De carregador encenado a extorsão em grande escala

O grupo Nitrogen é um grupo de ameaças sofisticado e financeiramente motivado que foi observado pela primeira vez como desenvolvedor e operador de malware em 2023. Desde a sua descoberta, o Nitrogen transformou-se numa operação completa de ransomware de dupla extorsão de ponta a ponta. A localização do grupo, as identidades/linhagem dos seus membros e as relações com outros atores de ameaças não estão bem documentadas.

Antes de entrarmos no perfil completo, aqui está uma breve visão do grupo:

O que há num nome?

Os nomes e logótipos dos grupos nem sempre são significativos, mas às vezes a marca oferece pistas sobre as intenções, localizações e identidades dos membros do grupo. Nitrogen não nos dá muito com que trabalhar aqui.

É difícil dizer por que o grupo escolheu o nome Nitrogen. Não parece haver nada de divertido ou interessante por trás deste nome. Pode ter sido escolhido para projetar uma imagem de invisibilidade e omnipresença, ou de frieza e meticulosidade, ou algo diferente. Talvez não signifique nada.

O logótipo minimalista parece uma imagem de stock com alguns elementos de design, e podemos especular sobre o que isso significa. Outros grupos que perfilámos têm designs de marca loucos com insetos e criaturas míticas e diversão retro fixe. A Lockbit pagou a pessoas para tatuar o seu logótipo em si mesmas (nojento). A Nitrogen parece não se importar com coisas assim, o que pode significar que o grupo não prioriza o reconhecimento de marca a longo prazo. Talvez o grupo tenha uma estratégia de saída planeada, ou reconheça que as marcas de ransomware não duram muito. Rebranding e mudar de domínios é mais fácil com uma imagem de logótipo simples porque não se tem uma série de elementos de estilo para limpar e/ou colocar num novo servidor.

Um design simples também pode ser uma declaração intencional de que o grupo não está interessado em marketing. Quer operar discretamente e não se preocupar em exibir a sua marca. Se o grupo está a operar como um RaaS, porque não estão a tentar chamar a atenção?

Como lembrete, tudo isto é especulação.

Localização e identidades

Não existe uma atribuição pública e autoritativa do Nitrogen a um país ou região específica. Relatórios de código aberto ligam a atividade do Nitrogen à área mais ampla da Europa de Leste, mas os investigadores não conseguiram confirmar uma localização. A maioria dos servidores de comando e controlo do ransomware Nitrogen estão em Bulgária e nos Países Baixos, mas o grupo pode ser descentralizado e atacar a partir de diferentes locais.

Não há também nenhuma evidência direta ligando Nitrogen a indivíduos específicos, embora os investigadores suspeitem que o grupo atual possa incluir antigos operadores Blackcat.

História de origem

Desenvolvedor de malware e operador de carregamento

A atividade do malware Nitrogen foi primeiramente detetada por investigadores no verão de 2023. O malware foi concebido para aceder a um sistema e estabelecer persistência para que um agente de ameaça pudesse realizar um ataque furtivo. O grupo Nitrogen desenvolveu e vendeu o malware, e por vezes ajudou a gerir as campanhas de malvertising para os compradores.

O malware Nitrogen loader é um pequeno pedaço de código que foi incluído com instaladores de aplicações para utilitários como o Advanced IP Scanner, Slack, WinSCP, AnyDesk, Cisco AnyConnect, PuTTY e outras aplicações. Estas aplicações foram selecionadas porque são mais propensas a serem descarregadas por equipas de TI e outros utilizadores técnicos.

Quando os utilizadores começam a instalar o download comprometido, o código Nitrogen começa a carregar de forma indireta uma biblioteca de ligação dinâmica maliciosa, ou dll. As aplicações Microsoft Windows utilizam ficheiros dll para fornecer código e dados sob demanda. Carregar de forma indireta um dll é uma técnica de ataque que faz com que uma aplicação carregue um dll malicioso em vez do ficheiro de sistema legítimo.

O malware Nitrogen é um 'staged loader', o que significa que descompacta, desencripta e descarrega o resto do ataque em várias etapas. Eis como o Nitrogen se mapeia para as etapas mais comuns encontradas nestes loaders:

Fase 0: Isca / Entrega: O Nitrogen entrega o seu malware utilizando publicidade maliciosa para enganar as vítimas a descarregar e instalar uma aplicação comprometida/troianizada.

Fase 1: Dropper / Instalador em disco: A vítima executa o instalador da aplicação e cria o dll malicioso.

Fase 2: Loader / DLL sideload: O dll malicioso é carregado pela aplicação trojanizada durante a instalação. Este dll prepara o ambiente e descompacta ou recupera a próxima fase.

Fase 3: Estágio na memória & beaconing: O stager desempacota ou descarrega a próxima parte do ataque, que é geralmente um script Python e beacons de comando-e-controle (C2) como Cobalt Strike ou Sliver. Estes beacons estabelecem comunicações quase imediatamente.

Etapa 4: Ações sobre o objetivo: O sistema está comprometido, e os operadores começam agora o resto das operações de ataque. Isto frequentemente levou a infeções de ransomware Blackcat.

Para ser claro, Nitrogen não era um corretor de acesso inicial (IAB) e nunca esteve envolvido na venda de acesso. A sua função era desenvolver malware para facilitar o acesso inicial para outros.

Evolução para grupo de ransomware

Não está claro quando o Nitrogen começou as suas operações de extorsão, mas Setembro de 2024 é a data geralmente aceite. Foi nesta altura que o Nitrogen declarou publicamente as suas primeiras vítimas.

No final de 2023, os investigadores observaram campanhas do carregador Nitrogen que levaram à implementação do ransomware Blackcat. Isto estabeleceu o papel do Nitrogen como facilitador de acesso inicial para a operação de ransomware-as-a-service (RaaS) do Blackcat. O que não está claro é se ou quando o Nitrogen se tornou um operador de ransomware como afiliado do Blackcat RaaS. No entanto, sabemos que o Nitrogen era um operador de ransomware totalmente independente com a sua própria variante de ransomware em meados de 2024. Em algum momento desta transição, o Nitrogen deixou de vender o seu popular malware carregador a terceiros.

Cadeia de Ataque

O Nitrogen continua a usar o seu próprio malware de carregamento para acesso inicial, por isso podemos manter os dois primeiros passos curtos:

Acesso Inicial: O ataque começa quando os utilizadores clicam em anúncios maliciosos que os redirecionam para sites falsos de download de software.​

Entrega e Execução de Malware: O instalador começa o sideloading de dll e estabelece uma ligação ao servidor C2.

Persistência e Movimento Lateral: O malware cria mecanismos de persistência, como chaves de execução no registo ou tarefas agendadas, para garantir que é executado na inicialização do sistema ou periodicamente.​ Este sistema é a 'plataforma de lançamento' para os passos seguintes.

Comando e Controlo (C2) e Entrega de Payload: O componente persistente executa NitrogenStager, que comunica com os servidores de Comando e Controlo (C2) do ator da ameaça e implanta ferramentas adicionais para facilitar o movimento lateral, exfiltração de dados ou um ataque de ransomware.

Pós-Explotação e Implementação de Ransomware: Antes de encriptar ficheiros, os operadores do Nitrogen exfiltram dados sensíveis para a sua própria infraestrutura, que geralmente são os servidores do grupo na Bulgária. Quando este processo termina, o binário do ransomware será executado e começará a encriptação. O processo de encriptação adiciona a extensão '.nba' aos ficheiros afetados. Uma nota de resgate, geralmente nomeada como "readme.txt", é deixada no ambiente de trabalho e em todas as pastas onde os ficheiros foram encriptados.

Evasão e Ofuscação: Os atores de Nitrogen podem limpar os registos de eventos do sistema e utilizar outras técnicas de dissimulação para remover artefactos forenses que possam ajudar os investigadores e as autoridades.

Resgate e negociações

A nota de resgate do Nitrogen é como a maioria das outras. Tem uma introdução que explica o que aconteceu:

Há muito mais na nota de resgate, mas nada de substancial. Pode ver tudo aqui.

Conclusão

Os ataques de Nitrogen quase sempre começam com malvertising e um download malicioso. O domínio do grupo em malvertising, técnicas de furtividade e capacidades de ataque abrangentes torna-o uma ameaça persistente e crescente para empresas em todo o mundo.

BarracudaONE

Maximize a sua proteção e resiliência cibernética com a plataforma de cibersegurança BarracudaONE alimentada por IA. A plataforma protege o seu e-mail, dados, aplicações e redes, sendo fortalecida por um serviço XDR gerido 24/7, unificando as suas defesas de segurança e proporcionando deteção e resposta a ameaças de forma inteligente e profunda. Gerencie a postura de segurança da sua organização com confiança, aproveitando a proteção avançada, análises em tempo real e capacidades de resposta proativa. Ferramentas robustas de relatórios oferecem insights claros e acionáveis, ajudando-o a monitorizar riscos, medir o ROI e demonstrar o impacto operacional. Não perca a oportunidade de obter uma demonstração da plataforma com os nossos especialistas em cibersegurança.