Ransomware de Nitrogen: evolución de su cadena de infección hacia campañas de extorsión masiva
El grupo Nitrogen es un grupo de amenazas sofisticado y motivado financieramente que se observó por primera vez como desarrollador y operador de malware en 2023. Desde su descubrimiento, Nitrogen se ha transformado en una operación completa de Ransomware de doble extorsión de extremo a extremo. La ubicación del grupo, las identidades/linaje de sus miembros y las relaciones con otros actores de amenazas no están bien documentadas.
Antes de entrar en el perfil completo, aquí hay un vistazo rápido al grupo:
Tipo de amenaza: Grupo de amenazas de Ransomware / doble extorsión. Los investigadores están divididos sobre si Nitrogen opera como un grupo de Ransomware como servicio (RaaS).
Rasgo único: Uso agresivo de publicidad maliciosa (publicidad maliciosa) e instaladores troyanizados dirigidos a profesionales de TI y otros usuarios técnicos.
Objetivos: Empresas de todos los tamaños en finanzas, fabricación, servicios profesionales y negocios regionales (EE. UU. / Reino Unido / Canadá y varias víctimas internacionales).
Acceso inicial: Anuncios maliciosos / envenenados que llevan a las víctimas a instaladores maliciosos o troyanizados para aplicaciones legítimas como WinSCP y Advanced IP Scanner.
Método de extorsión: Exfiltración y cifrado de datos.
Sitio de fuga: 'NitroBlog' – Logotipo con enlace 'contáctenos' y lista de víctimas
La importancia del nombre
Los nombres y logotipos de los grupos no siempre son significativos, pero a veces la marca ofrecerá pistas sobre las intenciones, ubicaciones e identidades de los miembros del grupo. El nitrógeno no nos da mucho con qué trabajar aquí.
Es difícil decir por qué el grupo eligió el nombre Nitrogen. No parece haber nada divertido o interesante detrás de este nombre. Puede tener la intención de proyectar una imagen de ser invisible y estar en todas partes, o frío y metódico, o algo más. Tal vez no signifique nada.
El logotipo minimalista parece una imagen de archivo con algunos elementos de diseño, y podemos especular sobre lo que esto significa. Otros grupos que hemos perfilado tienen diseños de marca locos con insectos y criaturas míticas y diversión retro genial. Lockbit pagó a la gente para que se tatuara su logotipo (asqueroso). A Nitrogen no parece importarle cosas como esa, lo que podría significar que el grupo no prioriza el reconocimiento de marca a largo plazo. Tal vez el grupo tenga una estrategia de salida planificada, o reconozca que las marcas de Ransomware no duran mucho. Cambiar la marca y cambiar de dominio es más fácil con una simple imagen de logotipo porque no tiene un montón de elementos de estilo para limpiar y / o poner en un nuevo servidor.
Un diseño simple también podría ser una declaración intencional de que el grupo no está interesado en el marketing. Quiere operar en silencio y no molestarse en mostrar su marca. Si el grupo opera como RaaS, ¿por qué no intentan llamar la atención?
Ubicación e identidades
Por obvias razones el creer que se conoce con exactitud donde se encuentra un grupo de este tipo no es más que una especulación, sin embargo los informes de código abierto vinculan la actividad del nitrógeno con el área más amplia de Europa del este. La mayoría de los servidores de comando y control del Ransomware Nitrogen se encuentran en Bulgaria y Países Bajos, pero el grupo podría estar descentralizado y atacar desde diferentes ubicaciones. (se cree que ex operadores del grupo Blackcat se encuentran detrás de este grupo).
Historia de origen
Desarrollador de malware y operador de carga
La actividad del malware Nitrogen fue detectada por primera vez por los investigadores en el verano de 2023. El malware fue diseñado para acceder a un sistema y establecer persistencia para que un actor de amenazas pudiera llevar a cabo un ataque sigiloso. El grupo Nitrogen desarrolló y vendió el malware y, a veces, ayudó a administrar las campañas de publicidad maliciosa para los compradores.
El malware Nitrogen Loader es un pequeño fragmento de código que se incluyó con instaladores de aplicaciones para utilidades como Advanced IP Scanner, Slack, WinSCP, AnyDesk, Cisco AnyConnect, PuTTY y otras aplicaciones. Estas aplicaciones fueron seleccionadas porque es más probable que sean descargadas por equipos de TI y otros usuarios técnicos.
Cuando los usuarios comienzan a instalar la descarga comprometida, el código de Nitrogen comienza a descargar una biblioteca de enlaces dinámicos maliciosa o dll. Las aplicaciones de Microsoft Windows usan archivos dll para proporcionar código y datos a petición. La instalación de prueba de un archivo dll es una técnica de ataque que hace que una aplicación cargue un archivo dll malintencionado en lugar del archivo de sistema legítimo.
El malware Nitrogen es un "cargador por etapas", lo que significa que desempaqueta, descifra y descarga el resto del ataque en varios pasos. Así es como Nitrogen se asigna a las etapas más comunes que se encuentran en estos cargadores:
Etapa 0: Señuelo / Entrega: Nitrogen entrega su malware mediante el uso de publicidad maliciosa para engañar a las víctimas para que descarguen e instalen una aplicación comprometida / troyanizada.
Etapa 1: Cuentagotas / Instalador en disco: La víctima ejecuta el instalador de la aplicación y crea el archivo dll malicioso.
Etapa 2: Carga lateral del cargador / DLL: La aplicación troyanizada carga la dll maliciosa a medida que se instala. Este archivo DLL prepara el entorno y desempaqueta o recupera la siguiente fase.
Etapa 3: Puesta en escena y balizamiento en memoria: El stager desempaqueta o descarga la siguiente parte del ataque, que suele ser un script de Python y balizas de comando y control (C2) como Cobalt Strike o Sliver. Estas balizas establecen comunicaciones casi de inmediato.
Etapa 4: Acciones sobre el objetivo: El sistema está comprometido y los operadores ahora comienzan el resto de las operaciones de ataque. Esto con frecuencia condujo a infecciones de ransomware Blackcat.
Para ser claros, Nitrogen no era un corredor de acceso inicial (IAB) y nunca estuvo involucrado en la venta de acceso. Su función era desarrollar malware para facilitar el acceso inicial a otros.
Evolución al grupo de ransomware
No está claro cuándo Nitrogen comenzó sus operaciones de extorsión, pero septiembre de 2024 es la fecha comúnmente aceptada. Fue entonces cuando Nitrogen se cobró públicamente sus primeras víctimas.
A finales de 2023, los investigadores observaron campañas de carga de nitrógeno que condujeron al despliegue del ransomware Blackcat. Esto estableció el papel de Nitrogen como facilitador de acceso inicial para la operación de ransomware como servicio (RaaS) de Blackcat. Lo que no está claro es si Nitrogen se convirtió en un operador de ransomware como afiliado de Blackcat RaaS. Sin embargo, sabemos que Nitrogen era un operador de ransomware totalmente independiente con su propia cepa de ransomware a mediados de 2024. En algún momento de esta transición, Nitrogen dejó de vender su popular malware de carga a otros.
Cadena de ataque
Nitrogen continúa usando su propio malware de carga para el acceso inicial, por lo que podemos mantener los dos primeros pasos cortos:
Acceso inicial: El ataque comienza cuando los usuarios hacen clic en anuncios maliciosos que los redirigen a sitios de descarga de software falsos.
Entrega y ejecución de malware: El instalador inicia la carga lateral de dll y establece una conexión con el servidor C2.
Persistencia y movimiento lateral: El malware crea mecanismos de persistencia, como claves de ejecución del registro o tareas programadas, para garantizar que se ejecute al inicio del sistema o periódicamente. Este sistema es la "plataforma de lanzamiento" para los próximos pasos.
Comando y control (C2) y entrega de carga útil: El componente persistente ejecuta NitrogenStager, que se comunica con los servidores de comando y control (C2) del actor de amenazas e implementa herramientas adicionales para facilitar el movimiento lateral, la exfiltración de datos o un ataque de ransomware.
Implementación posterior a la explotación y ransomware: Antes de cifrar archivos, los operadores de Nitrogen filtran datos confidenciales a su propia infraestructura, que suele ser los servidores del grupo en Bulgaria. Cuando finalice este proceso, el binario del ransomware se ejecutará y comenzará el cifrado. El proceso de cifrado agrega la extensión '.nba' a los archivos afectados. Una nota de rescate, generalmente llamada "readme.txt", se deja en el escritorio y en cada carpeta donde se han cifrado los archivos.
Evasión y ofuscación: Los actores de nitrógeno pueden borrar los registros de eventos del sistema y usar otras técnicas de camuflaje para eliminar artefactos forenses que pueden ayudar a los investigadores y a las fuerzas del orden.
Rescate y negociaciones
La nota de rescate de nitrógeno es como la mayoría de las demás. Tiene una introducción que explica lo que sucedió:
Concluye con instrucciones sobre cómo pagar y detalles de lo que la víctima recibe a cambio.
Eleve su protección y resiliencia digital con PC COM Mayorista, la plataforma integral de ciberseguridad impulsada por inteligencia artificial que protege su infraestructura, datos, aplicaciones y redes. Nuestra tecnología combina defensa avanzada con un servicio XDR administrado 24/7, que unifica la seguridad de su organización y ofrece detección y respuesta inteligente ante amenazas en todos los entornos.
Gestione la postura de seguridad de su empresa con total confianza gracias a nuestras capacidades de análisis en tiempo real, automatización de respuestas y protección proactiva. Además, nuestras herramientas de monitoreo e informes le brindan visibilidad completa sobre los riesgos, el rendimiento y el impacto operativo de sus medidas de seguridad.
Descubra cómo PC COM Mayorista puede fortalecer su ciberresiliencia. Solicite una demostración con nuestros especialistas en ciberseguridad y lleve su protección al siguiente nivel.
