TL;DR : L’essentiel
- Le groupe cybercriminel Nitrogen, actif depuis 2023 et issu du code source Conti 2, a opéré une transition vers l’extorsion en septembre 2024. Bien que moins prolifique que d’autres acteurs du secteur, cette variante représente une menace critique pour les infrastructures virtualisées.
- Une écriture mémoire défaillante écrase accidentellement quatre octets de la clé publique lors du processus de chiffrement des fichiers. Cette corruption technique, interne au processus, empêche la génération ultérieure du secret partagé indispensable à la récupération des données.
- L’analyse technique confirme que les machines virtuelles chiffrées sur les hyperviseurs ESXi sont irrécupérables, tant par les victimes que par les attaquants. Ce bug transforme involontairement cette opération lucrative en une campagne de destruction numérique définitive.
- L’examen du code malveillant démontre que l’outil de déchiffrement, même s’il est acheté, échouera systématiquement à restaurer l’intégrité des systèmes. Les organisations impactées doivent se concentrer exclusivement sur leurs procédures de restauration via sauvegardes, toute négociation étant techniquement futile.
L’univers des rançongiciels est souvent perçu comme une industrie illégale mais structurée, où la « confiance » dans la capacité des criminels à restaurer les données est essentielle au paiement. Cependant, une découverte technique récente vient briser cette mécanique pour les victimes du groupe Nitrogen. Une erreur de programmation fondamentale dans la version du malware ciblant les environnements VMware ESXi transforme le chiffrement en une destruction irréversible de données, piégeant à la fois les entreprises attaquées et les opérateurs du ransomware eux-mêmes.
Erreur de codage de Nitrogen : Une clé de chiffrement tronquée
Le dysfonctionnement identifié se situe au cœur du mécanisme cryptographique utilisé par le logiciel malveillant Nitrogen. Normalement, le processus repose sur l’algorithme Curve25519 pour générer une paire de clés (privée et publique) et établir un secret partagé via ChaCha8. Cependant, comme l’explique Coveware dans son analyse technique, une maladresse dans la gestion de la mémoire corrompt la clé publique avant même qu’elle ne soit utilisée pour verrouiller les fichiers.
Concrètement, le malware stocke initialement la clé publique à une adresse mémoire fixée. L’erreur survient lorsque le programme charge ensuite une nouvelle variable, un QWORD de 8 octets, proche de cet emplacement. En raison de sa taille, cette nouvelle variable déborde de son emplacement et vient écraser les données adjacentes. Le résultat est visuellement explicite lors de l’analyse du code : les quatre premiers octets de la clé publique originale sont effacés et remplacés par des séries de 0x00. Cette clé publique, désormais tronquée et invalide, est celle qui est inscrite dans le pied de page des fichiers chiffrés.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Impact critique du bug Nitrogen : Des données irrécupérables
La conséquence de ce chevauchement mémoire est absolue : la relation mathématique entre la clé publique corrompue et la clé privée générée initialement est rompue. Contrairement à un chiffrement standard où la clé privée permet de retrouver les données, ici, la clé publique utilisée par le ransomware Nitrogen ne correspond à aucune clé privée existante. Le fichier est donc chiffré avec une séquence qui ne possède pas de contrepartie de déchiffrement.
Cette situation place les incidents liés au rançongiciel Nitrogen dans une catégorie à part. D’après les informations rapportées par The Register, même si les victimes acceptaient de payer la rançon exigée, les cybercriminels seraient techniquement incapables de fournir un outil fonctionnel. L’outil de déchiffrement standard du groupe tente d’échanger la clé privée maître avec la clé publique du fichier pour retrouver le secret partagé. Puisque la clé publique stockée dans le fichier a été altérée par les 0x00, le calcul échoue systématiquement. Ce « but contre son camp » technique transforme une opération financière en un scénario de perte sèche pour toutes les parties impliquées.
Face à cette menace, la seule option viable demeure la restauration via des sauvegardes isolées et intègres. L’incident rappelle que les logiciels malveillants peuvent causer des dommages dépassant les intentions mêmes de leurs créateurs. Pour les administrateurs systèmes gérant des parcs ESXi, l’attaque par Nitrogen ne doit plus être traitée comme une extorsion classique, mais comme un effacement pur et simple des serveurs.
Glossaire technique de l’incident
Qu’est-ce que Curve25519 ?
Il s’agit d’un algorithme de cryptographie asymétrique (basé sur les courbes elliptiques) réputé pour sa rapidité et sa sécurité. Dans le contexte de Nitrogen, il est utilisé pour générer le couple de clés (privée et publique) nécessaire à la création d’un canal sécurisé pour chiffrer le fichier. C’est la corruption de la clé publique de cet algorithme qui rend le déchiffrement impossible.
À quoi sert ChaCha8 ?
C’est un algorithme de chiffrement symétrique rapide, dérivé de Salsa20. Une fois le secret partagé établi via Curve25519, le malware utilise ChaCha8 pour chiffrer concrètement le contenu des fichiers de la victime. Si le secret partagé est incorrect (à cause du bug Curve25519), ChaCha8 verrouille les données avec une clé que personne ne possède.
Qu’est-ce qu’un QWORD ?
En architecture informatique, un QWORD (Quad Word) est une unité de données de 64 bits, soit 8 octets. L’erreur fatale de Nitrogen provient du chargement maladroit d’une variable de type QWORD en mémoire : sa taille de 8 octets était trop grande pour l’emplacement prévu, provoquant un débordement qui a écrasé (écrasement mémoire) une partie de la clé de chiffrement située juste à côté.
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
