Empresas de salud atacadas por una nueva variante de ransomware.
Los expertos opinan que es muy probable que los atacantes detrás de NailaoLocker estén relacionados con China.
Recientes informes han identificado una nueva variante de ransomware, conocida como NailaoLocker, que está apuntando a organizaciones de salud en Europa. Los expertos en ciberseguridad han señalado que quienes distribuyen este ransomware probablemente tienen origen chino y están explotando una vulnerabilidad de alta gravedad en los Check Point Security Gateways para acceder y extraer contraseñas de cuentas locales.
La vulnerabilidad en cuestión, identificada como CVE-2024-24919, fue corregida en mayo de 2024. A pesar de la corrección, todas las instancias de Check Point observadas estaban aún vulnerables al momento de ser comprometidas. Esto permitió a los atacantes recuperar credenciales de usuario y conectarse a la VPN utilizando cuentas legítimas.
Los atacantes hacen uso de esta vulnerabilidad para cargar un archivo DLL vulnerable que facilita el despliegue de malware como ShadowPad y PlugX. Estos malware, a su vez, instalan NailaoLocker y se encargan de cifrar los archivos en los dispositivos de las víctimas.
NailaoLocker se ha caracterizado por su diseño básico y casi amateur. Según los especialistas, no termina con procesos de seguridad ni con servicios en ejecución, carece de técnicas para evadir depuradores o entornos de prueba, y tampoco escanea las unidades de red. "Escrito en C++, NailaoLocker es relativamente rudimentario y muestra un diseño deficiente, que aparentemente no busca garantizar un cifrado completo", indicaron los investigadores.
Este perfil ha suscitado especulaciones sobre los verdaderos objetivos de estas campañas, sugiriendo que el cifrado de archivos podría no ser la meta final. Podría tratarse de un método para desviar la atención de un objetivo más lucrativo, que sería el robo de datos sensibles, o una manera de obtener ingresos adicionales mientras se lleva a cabo ciberespionaje. Sin embargo, los analistas también destacaron que las organizaciones de salud generalmente no son los objetivos más comunes en este tipo de espionaje.
Hasta el momento, los investigadores no han podido vincular con certeza este ataque a un actor específico, manteniendo en la incertidumbre la atribución del mismo.
