Nitrogen ransomware: da loader a scopo di estorsione a estorsione su larga scala

Il gruppo Nitrogen è un gruppo di minacce sofisticato e motivato finanziariamente che è stato osservato per la prima volta come sviluppatore e operatore di malware nel 2023. Dalla sua scoperta, Nitrogen si è trasformato in un'operazione di ransomware a doppia estorsione completa e end-to-end. La posizione del gruppo, le identità/discendenza dei suoi membri e le relazioni con altri attori delle minacce non sono ben documentate.

Prima di entrare nel profilo completo, ecco uno sguardo rapido al gruppo:

Cosa c'è in un nome?

I nomi e i loghi dei gruppi non sono sempre significativi, ma a volte il branding può offrire indizi sulle intenzioni del gruppo, le sue posizioni e l'identità dei membri. Nitrogen non ci offre molto su cui lavorare qui.

È difficile dire perché il gruppo abbia scelto il nome Nitrogen. Non sembra esserci nulla di divertente o interessante dietro questo nome. Potrebbe essere inteso a proiettare un'immagine di invisibilità e onnipresenza, o di freddezza e metodicità, o qualcos'altro. Forse non significa nulla.

Il logo minimalista sembra un'immagine di stock con alcuni elementi di design, e possiamo speculare su cosa significhi. Altri gruppi che abbiamo profilato hanno design di brand folli con insetti e creature mitiche e divertimento retrò cool. Lockbit ha pagato persone per tatuarsi il suo logo addosso (disgustoso). Nitrogen non sembra preoccuparsi di cose del genere, il che potrebbe significare che il gruppo non dà priorità al riconoscimento del brand a lungo termine. Forse il gruppo ha una strategia di uscita pianificata, o riconosce che i brand di ransomware non durano a lungo. Il rebranding e il cambiamento di domini è più facile con un'immagine di logo semplice perché non hai un mucchio di elementi di stile da ripulire e/o mettere su un nuovo server.

Un design semplice potrebbe anche essere un'affermazione intenzionale che il gruppo non si interessa di marketing. Vuole operare in silenzio e non essere disturbato nel mostrare il proprio marchio. Se il gruppo opera come RaaS, perché non stanno cercando di attirare l'attenzione?

Come promemoria, tutto ciò è solo speculazione.

Posizione e identità

Non esiste un'attribuzione pubblica e autorevole di Nitrogen a un paese o una regione specifica. I rapporti open-source collegano l'attività di Nitrogen all'area più ampia dell'Europa orientale, ma i ricercatori non sono riusciti a confermare una posizione. La maggior parte dei server di comando e controllo del ransomware Nitrogen si trova in Bulgaria e Paesi Bassi, ma il gruppo potrebbe essere decentralizzato e attaccare da diverse località.

Non ci sono nemmeno prove dirette che colleghino Nitrogen a individui specifici, sebbene i ricercatori sospettino che il gruppo attuale possa includere ex operatori di Blackcat.

Storia delle origini

Sviluppatore di malware e operatore di caricamento

L'attività del malware Nitrogen è stata rilevata per la prima volta dai ricercatori nell'estate del 2023. Il malware è stato progettato per accedere a un sistema e stabilire la persistenza in modo che un attore malevolo potesse eseguire un attacco furtivo. Il gruppo Nitrogen ha sviluppato e venduto il malware, e a volte ha aiutato a gestire le campagne di malvertising per gli acquirenti.

Il malware Nitrogen loader è un piccolo pezzo di codice che è stato incluso con gli installer delle applicazioni per utility come Advanced IP Scanner, Slack, WinSCP, AnyDesk, Cisco AnyConnect, PuTTY e altre applicazioni. Queste applicazioni sono state selezionate perché è più probabile che vengano scaricate da team IT e altri utenti tecnici.

Quando gli utenti iniziano a installare il download compromesso, il codice Nitrogen inizia a caricare lateralmente una dynamic link library, o dll dannosa. Le applicazioni di Microsoft Windows utilizzano i file dll per fornire codice e dati su richiesta. Caricare lateralmente una dll è una tecnica di attacco che induce un'applicazione a caricare una dll dannosa invece del file di sistema legittimo.

Il malware Nitrogen è un "staged loader", il che significa che decomprime, decritta e scarica il resto dell'attacco in più fasi. Ecco come Nitrogen si mappa alle fasi più comuni trovate in questi loader:

Fase 0: Adescamento / Consegna: Nitrogen distribuisce il suo malware utilizzando malvertising per ingannare le vittime a scaricare e installare un'applicazione compromessa/trojanizzata.

Fase 1: Dropper / Installer su disco: La vittima esegue l'installatore dell'applicazione e crea la dll dannosa.

Fase 2: Caricatore / DLL sideload: La dll dannosa viene caricata dall'applicazione trojanizzata durante l'installazione. Questa dll prepara l'ambiente e decomprime o recupera la fase successiva.

Fase 3: Staging in memoria & beaconing: Lo stager decomprime o scarica il prossimo elemento dell'attacco, che di solito è uno script Python e beacon di comando e controllo (C2) come Cobalt Strike o Sliver. Questi beacon stabiliscono comunicazioni quasi immediatamente.

Fase 4: Azioni sull'obiettivo: Il sistema è compromesso e gli operatori iniziano ora il resto delle operazioni di attacco. Questo ha spesso portato a infezioni da ransomware Blackcat.

Per essere chiari, Nitrogen non era un broker di accesso iniziale (IAB) e non è mai stato coinvolto nella vendita di accessi. La sua funzione era sviluppare malware per facilitare l'accesso iniziale ad altri.

Evoluzione in gruppo di ransomware

Non è chiaro quando Nitrogen abbia iniziato le sue operazioni di estorsione, ma settembre 2024 è la data comunemente accettata. Questo è quando Nitrogen ha dichiarato pubblicamente le sue prime vittime.

Alla fine del 2023, i ricercatori hanno osservato campagne del loader Nitrogen che portavano al dispiegamento del ransomware Blackcat. Questo ha stabilito il ruolo di Nitrogen come facilitatore di accesso iniziale per l'operazione ransomware-as-a-service (RaaS) di Blackcat. Non è chiaro se o quando Nitrogen sia diventato un operatore di ransomware come affiliato di Blackcat RaaS. Tuttavia, sappiamo che Nitrogen era un operatore di ransomware completamente indipendente con la propria variante di ransomware entro la metà del 2024. A un certo punto di questa transizione, Nitrogen ha smesso di vendere il suo popolare malware loader ad altri.

Catena di attacco

L'azoto continua a utilizzare il proprio malware loader per l'accesso iniziale, quindi possiamo mantenere brevi i primi due passaggi:

Accesso Iniziale: L'attacco inizia quando gli utenti cliccano su annunci dannosi che li reindirizzano a siti di download di software falsi.​

Consegna ed Esecuzione di Malware: L'installatore inizia il sideloading della dll e stabilisce una connessione al server C2.

Persistenza e Movimento Laterale: Il malware crea meccanismi di persistenza, come chiavi di esecuzione nel registro o attività pianificate, per garantire che venga eseguito all'avvio del sistema o periodicamente.​ Questo sistema è la ‘piattaforma di lancio’ per i prossimi passi.

Comando e Controllo (C2) e Consegna del Payload: Il componente persistente esegue NitrogenStager, che comunica con i server di Comando e Controllo (C2) dell'attore della minaccia e distribuisce strumenti aggiuntivi per facilitare il movimento laterale, l'esfiltrazione dei dati o un attacco ransomware.

Post-sfruttamento e distribuzione di ransomware: Prima di crittografare i file, gli operatori di Nitrogen esfiltrano dati sensibili verso la propria infrastruttura, che di solito sono i server del gruppo in Bulgaria. Quando questo processo è completato, il file binario del ransomware verrà eseguito e inizierà la crittografia. Il processo di crittografia aggiunge l'estensione '.nba' ai file interessati. Una nota di riscatto, di solito chiamata "readme.txt", viene lasciata sul desktop e in ogni cartella dove i file sono stati crittografati.

Evasione e Offuscamento: Gli attori di Nitrogen potrebbero cancellare i registri degli eventi di sistema e utilizzare altre tecniche di occultamento per rimuovere gli artefatti forensi che potrebbero aiutare i ricercatori e le forze dell'ordine.

Riscatto e negoziazioni

Il Nitrogen ransom note è come la maggior parte degli altri. Ha un'introduzione che spiega cosa è successo:

C'è molto di più nella richiesta di riscatto, ma nulla di sostanziale. Puoi vedere tutto qui.

Conclusione

Gli attacchi Nitrogen iniziano quasi sempre con malvertising e un download dannoso. La padronanza del gruppo nel malvertising, nelle tecniche di furtività e nelle capacità di attacco complete lo rende una minaccia persistente e in crescita per le aziende di tutto il mondo.

BarracudaONE

Massimizza la tua protezione e resilienza informatica con la piattaforma di cybersecurity BarracudaONE potenziata dall'intelligenza artificiale. La piattaforma protegge la tua e-mail, i dati, le applicazioni e le reti, ed è rafforzata da un servizio XDR gestito 24/7, unificando le tue difese di sicurezza e fornendo una rilevazione e risposta alle minacce profonda e intelligente. Gestisci con fiducia l'assetto di sicurezza della tua organizzazione, sfruttando la protezione avanzata, l'analisi in tempo reale e le capacità di risposta proattiva. Gli strumenti di reportistica robusti forniscono chiari e utili insight, aiutandoti a monitorare i rischi, misurare il ROI e dimostrare l'impatto operativo. Non perdere l'opportunità di ottenere una demo della piattaforma dai nostri esperti di cybersecurity.