任何遭受过勒索软件攻击的人都会告诉你,那绝不是愉快的一天。但如果这一天不仅对受害者来说是灾难,对攻击者而言也同样糟糕呢?由于一个编码错误,氮气(Nitrogen)组织的一个勒索软件变种就恰恰陷入了这种境地:它在加密目标数据后,竟将密钥彻底丢弃,导致数据完全无法恢复。
这个出问题的勒索软件正是氮气(Nitrogen)的VMware ESXi变种,它针对的是虚拟机管理程序(hypervisor),并很可能加密其中驻留的虚拟机。针对管理程序的攻击并非新鲜事,现有分析表明,虽然系统管理员通常擅长在托管操作系统上部署端点防护,但他们对管理程序的安全策略有时却较为松懈。
对于遭受此特定变种攻击的受害者而言,这最终意味着他们无需支付该组织索要的赎金,因为没有人能够解密这些数据。唯一可行的行动方案是调取最新的备份。如果备份不存在,那剩下的选择恐怕就只有寻求心理疏导了。
从技术层面看,问题出在数据加密步骤开始时,部分加密公钥被覆写为零(8字节,即64位)。由于公钥和私钥总是特定的配对,这意味着没有人知道哪个私钥能与现在这个被破坏的公钥匹配,甚至不确定这样的私钥在计算上是否可能存在。Veeam对此问题的技术深入分析表明,这个错误很可能是一个常见的“差一错误”。
Veeam的报告并未提及受此ESXi特定变种影响的受害者,但氮气(Nitrogen)组织的攻击活动自2023年以来一直在进行。它曾以北美金融机构、机械和工业公司,甚至《逃生(Outlast)》系列的开发商红桶(Red Barrel)为目标。
如果无法收到赎金,进行勒索也就失去了意义。多亏了某位开发人员可能犯下的粗心错误,世界得到了一个关于“无意中实现相互确保摧毁”的生动例证。
