Se vió una nueva cepa de ransomware que está apuntando a empresas de salud en Europa

Los objetivos de NailaoLocker están principalmente ubicados en Europa

El encriptador era muy básico, pero aún representa una amenaza

Las organizaciones de salud en Europa están siendo atacadas por una cepa de ransomware nunca antes vista llamada NailaoLocker, advirtieron los expertos.

Los investigadores de ciberseguridad Orange Cyberdefense revelaron que los actores de amenazas que distribuyen NailaoLocker son muy probablemente de origen chino. Aparentemente están abusando de una vulnerabilidad de alta gravedad en los Check Point Security Gateways para enumerar y extraer hashes de contraseñas de todas las cuentas locales.

La vulnerabilidad se rastrea como CVE-2024-24919 y fue parcheada en mayo de 2024.

Diversion

“Debido a que todas las instancias de Check Point observadas aún eran vulnerables en el momento de su compromiso, es probable que CVE-2024-24919 haya permitido a los actores de amenazas recuperar credenciales de usuario y conectarse a la VPN utilizando una cuenta legítima”, dijo Orange.

Los atacantes abusarían de esta vulnerabilidad para cargar lateralmente un archivo DLL vulnerable y usarlo para desplegar el malware ShadowPad y PlugX. A su vez, estos dejarían NailaoLocker y encriptarían archivos en las computadoras de las víctimas.

El propio locker es aparentemente muy básico, casi amateur. Orange dice que no mata procesos de seguridad o servicios en funcionamiento, no tiene técnicas anti-depuración o de evasión de sandbox, y no escanea compartidos de red. “Escrito en C++, NailaoLocker es relativamente poco sofisticado y mal diseñado, aparentemente no destinado a garantizar una encriptación completa”, dijo Orange.

Eso ha alimentado especulaciones de que la encriptación no es el objetivo final de estas campañas. En lugar de ello, podrían ser una forma de desviar la atención del objetivo real, que es robar datos sensibles de las empresas, o una forma de ganar un poco de dinero extra, mientras se logra el verdadero objetivo de ciberespionaje. Sin embargo, Orange también dijo que los objetivos eran principalmente organizaciones de salud, que no son exactamente los objetivos habituales del ciberespionaje.

Los investigadores no tienen la certeza, por lo tanto no están atribuyendo este ataque a ningún actor de amenazas en particular, al menos por el momento.

