گاهی حتی سازندگان بدافزار هم قربانی کدهای خود میشوند. تازهترین گزارشهای امنیتی نشان میدهد یکی از نسخههای باجافزار Nitrogen به دلیل یک باگ جدی در مدیریت کلیدهای رمزنگاری، پس از رمزگذاری اطلاعات قربانیان، کلید بازگشایی را عملاً از بین میبرد؛ موضوعی که باعث شده دادهها نهتنها برای کاربران، بلکه حتی برای خود مهاجمان نیز غیرقابل بازیابی باشند.
اگر تجربه این شرایط وحشتناک را داشته باشید به خوبی میدانید که قفل شدن فایلها با حمله باجافزاری یکی از دردناکترین مشکلاتی است که در دنیای رایانه و اطلاعات میتوان با آن روبرو شد.
اما باید بگوییم که اتفاقات به مراتب بدتری از تنها قفل شدن فایلها هم وجود دارد؛ این اتفاق آن است که با هزاران زحمت بتوانید باج درخواست شده را تهیه کنید ولی حتی خود زورگیرانی که فایلهای شما را قفل کردهاند هم نتوانند آنها را رمزگشایی کنند!
به تازگی یک مورد از این حالت بسیار بد و نادر گزارش شده است که داستان غمانگیزی را روایت میکند که ناشی از یک نقص و اشتباه فنی است.
این نقص در نسخه مخصوص VMware ESXi مشاهده شده است؛ گونهای که مستقیماً هایپروایزرها را هدف قرار میدهد و با رمزگذاری ماشینهای مجازی، زیرساخت کامل سازمان را از کار میاندازد.
برخلاف حملات رایج که سیستمعاملهای معمولی را آلوده میکنند، این نوع باجافزار لایه مجازیسازی را نشانه میگیرد؛ جایی که معمولاً چندین سرویس حیاتی بهصورت همزمان اجرا میشوند.
تمرکز حمله روی ESXi؛ نقطه کور بسیاری از زیرساختها
حملات مبتنی بر ESXi موضوع تازهای در دنیای امنیت وب نیست، اما بررسیها نشان میدهد بسیاری از مدیران شبکه تمرکز اصلی خود را روی ایمنسازی سیستمعاملهای مهمان میگذارند و در مقابل، خود هایپروایزر را با سیاستهای امنیتی ضعیفتری رها میکنند. همین موضوع باعث شده سرورهای ESXi به یکی از اهداف جذاب گروههای باجافزاری تبدیل شوند.
در این سناریو، با رمزگذاری ماشینهای مجازی، عملاً کل سرویسهای سازمان بهطور همزمان از دسترس خارج میشوند؛ اتفاقی که میتواند خسارت گستردهای به کسبوکارها وارد کند.
باگ رمزنگاری؛ وقتی کلید خصوصی دیگر وجود ندارد
طبق تحلیل فنی منتشرشده توسط Veeam، مشکل اصلی در همان ابتدای فرآیند رمزگذاری رخ میدهد. در این مرحله، بخشی از کلید عمومی رمزنگاری بهاشتباه با مقدار صفر جایگزین میشود؛ دقیقاً ۸ بایت یا ۶۴ بیت.
از آنجا که کلید عمومی و کلید خصوصی در رمزنگاری نامتقارن یک جفت وابسته به هم هستند، تخریب بخشی از کلید عمومی باعث میشود دیگر هیچ کلید خصوصی متناظری برای آن وجود نداشته باشد. به زبان ساده، باجافزار پس از قفل کردن فایلها، کلید بازگشایی را عملاً «دور میاندازد».
تحلیلگران Veeam احتمال میدهند این مشکل ناشی از یک خطای رایج برنامهنویسی موسوم به off-by-one باشد؛ اشتباهی که میتواند باعث بازنویسی ناخواسته بخشی از حافظه شود.
نتیجه این باگ کاملاً روشن است: حتی اگر قربانی حاضر به پرداخت باج باشد، گروه Nitrogen نیز قادر به ارائه کلید رمزگشایی نخواهد بود. بنابراین پرداخت باج هیچ فایدهای ندارد و تنها راه باقیمانده، بازیابی دادهها از نسخههای پشتیبان است. در صورت نبود بکاپ مناسب، اطلاعات عملاً برای همیشه از دست میروند.
اگرچه گزارش Veeam به موارد مشخص آلودگی این نسخه ESXi اشاره نکرده، اما کمپین Nitrogen از سال ۲۰۲۳ فعال بوده و اهداف متعددی را نشانه گرفته است. این قربانیان دامنه وسیعی را شامل شده و از میان آنها، مؤسسات مالی آمریکای شمالی گرفته تا شرکتهای صنعتی و حتی استودیوی Red Barrel، سازنده مجموعه بازی Outlast را میتوان نام برد.
با این حال، اشتباه اخیر توسعهدهندگان این باجافزار باعث شده مدل باجگیری آنها عملاً بیاثر شود. در این سناریو، نه قربانی به دادههایش دسترسی دارد و نه مهاجم میتواند پولی دریافت کند؛ نمونهای واقعی از «نابودی متقابل تضمینشده» که اینبار به شکلی کاملاً ناخواسته رخ داده است.
