Nitrogen

Source : Blog Barracuda (article du 07/11/2025). Contexte : présentation du groupe Nitrogen et de son évolution, basée sur observations ouvertes et analyses internes, avec un focus sur l’identité, l’implant technique et les méthodes de distribution. L’article décrit Nitrogen comme un acteur de ransomware à motivation financière, identifié depuis 2023, passé d’un rôle de développeur/opérateur de loader à une opération d’extorsion plus complète. Le branding du groupe est minimaliste et peu révélateur, suggérant un manque d’intérêt pour la notoriété publique ou une facilité de rebranding, mais ces éléments demeurent spéculatifs. ...

Premièrement détecté en septembre 2024, le groupe de ransomware Nitrogen ciblait initialement les États-Unis et le Canada. Depuis, il a étendu sa portée à certaines parties de l’Afrique et de l’Europe. Le nombre de victimes connues de Nitrogen s’élève à 21, bien que de nombreuses autres ne soient probablement jamais répertoriées sur le blog public du groupe. Des indicateurs de cette famille de malwares ont été identifiés dès 2023, suggérant des liens avec d’autres infections de ransomware. Dans un cas récent non publié, les attaquants ont gagné un accès initial, se sont déplacés latéralement à travers les systèmes et ont tenté de couvrir leurs traces en effaçant les logs. L’examen des fichiers de rapport d’erreur Windows (WER) et des fichiers de vidage sur incident a révélé une configuration Cobalt Strike, un serveur d’équipe C2 Cobalt Strike et l’utilisation d’un système de pivot par l’attaquant. ...