Ataque com RANSOMWARE NailaoLocker
20 de Fevereiro de 2025

Um payload de ransomware até então não documentada, batizada de NailaoLocker, foi detectada em ataques visando organizações de saúde europeias entre junho e outubro de 2024.

Os ataques exploraram a vulnerabilidade CVE-2024-24919 , na Check Point Security Gateway, para ganhar acesso a redes visadas e implementar os malwares ShadowPad e PlugX, duas famílias fortemente associadas a grupos de ameaças patrocinados pelo estado chinês.

O CERT da Orange Cyberdefense vincula os ataques a táticas de ciberespionagem chinesas, embora não haja evidências suficientes para atribuí-los a grupos específicos.

Os pesquisadores da Orange relatam que o NailaoLocker é uma variante de ransomware relativamente pouco sofisticada em comparação com as famílias mais proeminentes no cenário.

O motivo pelo qual a Orange considera o NailaoLocker um ransomware bastante básico é que ele não termina processos de segurança ou serviços em execução, carece de mecanismos de anti-debugging e evasão de sandbox, e não escaneia compartilhamentos em rede.

"Escrito em C++, o NailaoLocker é relativamente pouco sofisticado e mal projetado, aparentemente não intencionado a garantir uma criptografia completa," menciona a Orange.

O malware é implementado nos sistemas-alvo através de DLL sideloading (sensapi.dll) envolvendo um executável legítimo e assinado (usysdiag.exe).

O carregador do malware (NailaoLoader) verifica o ambiente realizando checagens de endereços de memória e então descriptografa o payload principal (usysdiag.exe.dat) e a carrega na memória.

Em seguida, o NailaoLocker é ativado e começa a criptografar arquivos usando um esquema AES-256-CTR, acrescentando a extensão ".locked" aos arquivos criptografados.

Após a criptografia, o ransomware deixa uma nota de resgate em HTML com o nome de arquivo extremamente longo "unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please.html."

Esta nota de resgate instrui as vítimas a contatá-los em um endereço ProtonMail descartável, que, em alguns casos observados, era johncollinsy@proton[.]me.

A nota de resgate não indica que os dados foram roubados, o que é estranho para a maioria das operações modernas de ransomware.

Investigando mais a fundo, a Orange diz ter encontrado alguma sobreposição entre o conteúdo da nota de resgate e uma ferramenta de ransomware vendida por um grupo de cibercrime denominado Kodex Softwares (anteriormente Evil Extractor).

No entanto, não havia sobreposições diretas de código, tornando a conexão nebulosa.

A Orange compartilhou várias hipóteses para os ataques, incluindo operações de bandeira falsa destinadas a distrair, operações de roubo de dados estratégicos combinadas com geração de receita, e, mais provavelmente, um grupo de ciberespionagem chinês "fazendo trabalhos extras" para ganhar algum dinheiro.

Apenas na semana passada, a Symantec relatou sobre suspeitos operativos do Emperor Dragonfly (também conhecido como Bronze Starlight) implementando o ransomware RA World contra empresas de software asiáticas e exigindo um resgate de $2 milhões.

Comparados aos atores norte-coreanos, que são conhecidos por perseguir vários objetivos em paralelo, incluindo ganhos financeiros por meio de ataques de ransomware, os atores apoiados pelo estado chinês não seguiram essa abordagem, então a mudança de táticas é preocupante.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...