Um payload de ransomware até então não documentada, batizada de NailaoLocker, foi detectada em ataques visando organizações de saúde europeias entre junho e outubro de 2024.
Os ataques exploraram a vulnerabilidade
CVE-2024-24919
, na Check Point Security Gateway, para ganhar acesso a redes visadas e implementar os malwares ShadowPad e PlugX, duas famílias fortemente associadas a grupos de ameaças patrocinados pelo estado chinês.
O CERT da Orange Cyberdefense vincula os ataques a táticas de ciberespionagem chinesas, embora não haja evidências suficientes para atribuí-los a grupos específicos.
Os pesquisadores da Orange relatam que o NailaoLocker é uma variante de ransomware relativamente pouco sofisticada em comparação com as famílias mais proeminentes no cenário.
O motivo pelo qual a Orange considera o NailaoLocker um ransomware bastante básico é que ele não termina processos de segurança ou serviços em execução, carece de mecanismos de anti-debugging e evasão de sandbox, e não escaneia compartilhamentos em rede.
"Escrito em C++, o NailaoLocker é relativamente pouco sofisticado e mal projetado, aparentemente não intencionado a garantir uma criptografia completa," menciona a Orange.
O malware é implementado nos sistemas-alvo através de DLL sideloading (sensapi.dll) envolvendo um executável legítimo e assinado (usysdiag.exe).
O carregador do malware (NailaoLoader) verifica o ambiente realizando checagens de endereços de memória e então descriptografa o payload principal (usysdiag.exe.dat) e a carrega na memória.
Em seguida, o NailaoLocker é ativado e começa a criptografar arquivos usando um esquema AES-256-CTR, acrescentando a extensão ".locked" aos arquivos criptografados.
Após a criptografia, o ransomware deixa uma nota de resgate em HTML com o nome de arquivo extremamente longo "unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please.html."
Esta nota de resgate instrui as vítimas a contatá-los em um endereço ProtonMail descartável, que, em alguns casos observados, era johncollinsy@proton[.]me.
A nota de resgate não indica que os dados foram roubados, o que é estranho para a maioria das operações modernas de ransomware.
Investigando mais a fundo, a Orange diz ter encontrado alguma sobreposição entre o conteúdo da nota de resgate e uma ferramenta de ransomware vendida por um grupo de cibercrime denominado Kodex Softwares (anteriormente Evil Extractor).
No entanto, não havia sobreposições diretas de código, tornando a conexão nebulosa.
A Orange compartilhou várias hipóteses para os ataques, incluindo operações de bandeira falsa destinadas a distrair, operações de roubo de dados estratégicos combinadas com geração de receita, e, mais provavelmente, um grupo de ciberespionagem chinês "fazendo trabalhos extras" para ganhar algum dinheiro.
Apenas na semana passada, a Symantec relatou sobre suspeitos operativos do Emperor Dragonfly (também conhecido como Bronze Starlight) implementando o ransomware RA World contra empresas de software asiáticas e exigindo um resgate de $2 milhões.
Comparados aos atores norte-coreanos, que são conhecidos por perseguir vários objetivos em paralelo, incluindo ganhos financeiros por meio de ataques de ransomware, os atores apoiados pelo estado chinês não seguiram essa abordagem, então a mudança de táticas é preocupante.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...