Un nuevo tipo de ransomware fue visto atacando a empresas de atención médica en Europa. Los objetivos de NailaoLocker se encuentran principalmente en Europa. El cifrador era muy básico, pero aún representa una amenaza.
Las organizaciones de salud en Europa están siendo atacadas por un nuevo tipo de ransomware llamado NailaoLocker, advirtieron los expertos. Los investigadores de ciberseguridad Orange Cyberdefense revelaron que los actores de amenazas que distribuyen NailaoLocker son muy probablemente de origen chino. Aparentemente, están abusando de una vulnerabilidad de alta gravedad en los Check Point Security Gateways para enumerar y extraer las contraseñas de todos los cuentas locales.
La vulnerabilidad se rastrea como CVE-2024-24919 y fue parcheada en mayo de 2024.
“Debido al hecho de que todas las instancias de Check Point observadas aún eran vulnerables en el momento de su compromiso, es probable que CVE-2024-24919 haya permitido a los actores de amenazas recuperar las credenciales de usuario y conectarse a la VPN utilizando una cuenta legítima”, dijo Orange.
Los atacantes abusarían de esta vulnerabilidad para cargar un archivo DLL vulnerable y usarlo para desplegar el malware ShadowPad y PlugX. A su vez, estos dejarían caer NailaoLocker y cifrarían archivos en las computadoras de las víctimas.
El propio locker es aparentemente muy básico, casi amateur. Orange dice que no mata procesos de seguridad ni servicios en ejecución, no tiene técnicas anti-depuración o de evasión de sandbox, y no escanea comparticiones de red. “Escrito en C++, NailaoLocker es relativamente poco sofisticado y mal diseñado, aparentemente no destinado a garantizar un cifrado completo”, dijo Orange.
Eso ha alimentado la especulación de que el cifrado no es el objetivo final de estas campañas. En cambio, podrían ser una forma de desviar la atención del objetivo real, que es robar datos sensibles de los objetivos, o una forma de ganar un poco de dinero extra, mientras se logra el verdadero objetivo del ciberespionaje. Sin embargo, Orange también dijo que los objetivos eran principalmente organizaciones de atención médica, que no son exactamente los objetivos habituales del ciberespionaje.
Regístrese en el boletín de TechRadar Pro para obtener todas las principales noticias, opiniones, características y orientación que su empresa necesita para tener éxito.
Los investigadores no saben con certeza, por lo tanto, no están atribuyendo este ataque a ningún actor de amenazas en particular, al menos por ahora.