Visit our booth at CANSEC on May 27-28
Le rançongiciel Nitrogen, distribué par le groupe Nitrogen Ransomware, partage plusieurs similitudes avec LukaLocker du groupe Volcano Demon. Cette analyse technique révèle que le logiciel malveillant utilise un pilote vulnérable (truesight.sys) pour contourner les protections et terminer les processus de sécurité.
Le rançongiciel cible 1877 logiciels de sécurité, incluant les principaux antivirus et EDR du marché comme Sophos, Symantec, McAfee, Windows Defender, BitDefender et SentinelOne. Il désactive également les solutions de sauvegarde (Acronis, Veeam), les bases de données (SQL Server, MySQL, Oracle) et les plateformes de virtualisation (VMware).
Le maliciel emploie des modes de chiffrement similaires au code source divulgué de Conti et ajoute l'extension .NBA aux fichiers chiffrés. Il crée une note de rançon nommée readme.txt et utilise divers paramètres comme -no-mutex et -sd-killer-off pour optimiser son exécution. StreamScan EDR a réussi à détecter et mettre en quarantaine cette menace, tandis que l'analyse VirusTotal du 10 octobre 2024 montrait une détection de 22 antivirus sur 73.
