Entre junho e outubro de 2024, uma nova variante de ransomware chamada NailaoLocker foi observada em uma série de ataques direcionados a organizações de saúde da União Europeia. Essa ameaça, ainda não documentada anteriormente, se aproveitou de uma vulnerabilidade conhecida (CVE-2024-24919) no Check Point Security Gateway, permitindo acesso não autorizado às redes comprometidas. A partir desse ponto, os invasores implantaram malwares como ShadowPad e PlugX, frequentemente associados a grupos de ciberespionagem patrocinados pelo governo chinês.
Embora o NailaoLocker tenha sido vinculado a táticas de espionagem cibernética, o CERT da Orange Cyberdefense observa que ainda não há evidências conclusivas que permitam atribuir esses ataques a grupos específicos. No entanto, a natureza do malware sugere uma operação cuidadosamente orquestrada, provavelmente visando mais do que apenas o lucro financeiro.
Características do NailaoLocker
Ao contrário de outras famílias de ransomware mais sofisticadas, o NailaoLocker não possui mecanismos avançados de evasão, como a interrupção de processos de segurança ou a utilização de técnicas de anti-depuração. De fato, seu design simples e sua falta de medidas para ocultar atividades o tornam relativamente inofensivo em termos de sofisticação.
O malware, escrito em C++, é implantado em sistemas através do carregamento lateral de DLL (sensapi.dll), utilizando um executável legítimo e assinado (usysdiag.exe). Uma vez no sistema, o NailaoLocker é ativado, criptografando arquivos com o algoritmo AES-256-CTR e adicionando a extensão “.locked”. Depois de criptografar os dados, o ransomware gera uma nota de resgate em HTML, com um nome de arquivo extremamente longo e instrui as vítimas a entrar em contato com os atacantes via um endereço de e-mail temporário no ProtonMail.
Notícias Relacionadas
Ataque cibernético
Grupo chinês ataca governo russo com nova versão do malware MysterySnail
Hackers chineses do grupo IronHusky lançam ataques contra alvos russos e mongóis com uma nova variante do malware MysterySnail RAT, destacando o avanço das táticas cibernéticas.
Ameaça persistente
Cadeia de infecção em múltiplos estágios dribla defesas com Agent Tesla e XLoader
Campanha de malware em estágios sequenciais usa e-mails falsos e scripts ofuscados para implantar RATs como Agent Tesla, Remcos e XLoader, escapando da detecção tradicional.
Espionagem e Extorsão
Apesar de ser um ransomware simples, o NailaoLocker se destaca por seu contexto de espionagem. A Orange Cyberdefense notou semelhanças entre a nota de resgate do NailaoLocker e ferramentas anteriormente usadas por um grupo cibercriminosa chamado Kodex Softwares (anteriormente conhecido como Evil Extractor). No entanto, não houve sobreposição direta de código, o que dificultou estabelecer uma relação clara.
A teoria mais plausível é que o ataque tenha como objetivo gerar receita enquanto se aproveita de técnicas de espionagem, possivelmente realizadas por grupos patrocinados pelo governo chinês, que têm uma abordagem menos focada no lucro financeiro em comparação com outros grupos patrocinados por estados, como os norte-coreanos. Essa tática inédita levanta preocupações sobre uma mudança na estratégia de grupos de ciberespionagem, incluindo uma possível combinação de extorsão e espionagem.
Conclusão
O ataque de NailaoLocker sublinha uma tendência crescente de ataques cibernéticos em setores críticos, como o de saúde, em que o ransomware é usado não apenas para extorsão, mas também para atividades de espionagem. Com a crescente sofisticação das ameaças, especialmente por grupos apoiados por Estados, as organizações precisam se manter vigilantes e adotar medidas rigorosas de segurança para mitigar os riscos de tais incidentes.
