Ένα νεοεμφανιζόμενο (ransomware) με την ονομασία NailaoLocker προκάλεσε αναστάτωση στον τομέα της υγείας στην Ευρώπη, με καταγεγραμμένες επιθέσεις από τον Ιούνιο έως τον Οκτώβριο του 2024. Παρότι το NailaoLocker δεν είναι εξίσου περίπλοκο όσο άλλες διαβόητες οικογένειες (ransomware), οι επιπτώσεις του δεν πρέπει να υποτιμηθούν.
Σύμφωνα με ερευνητές του Orange Cyberdefense CERT και ανεξάρτητες πηγές της παγκόσμιας κοινότητας κυβερνοασφάλειας, οι χάκερ εκμεταλλεύτηκαν μια ευπάθεια που καταχωρήθηκε ως CVE-2024-24919, εντοπισμένη στο (Check Point Security Gateway). Μέσω αυτής, κατάφεραν να παρεισφρήσουν σε δίκτυα υγειονομικών οργανισμών, εγκαθιστώντας επιπλέον κακόβουλο λογισμικό, όπως (ShadowPad) και (PlugX). Αυτά τα εργαλεία είναι γνωστό ότι συνδέονται με κρατικά υποστηριζόμενους χάκερ από την Κίνα, αν και δεν υπάρχουν αποδείξεις που να αποδίδουν συγκεκριμένα την επίθεση σε κάποια συγκεκριμένη ομάδα.
Πώς δρα το NailaoLocker
Σε πρώτη ανάγνωση, το NailaoLocker φαντάζει λιγότερο προηγμένο σε σχέση με άλλα (ransomware) όπως το LockBit ή το BlackCat. Δεν διαθέτει συστήματα (anti-debugging) ή (sandbox evasion), ούτε προσπαθεί να κλείσει εργαλεία ασφαλείας προτού ξεκινήσει τη διαδικασία κρυπτογράφησης.
Ωστόσο, το γεγονός ότι εγκαθίσταται με (DLL sideloading) αξιοποιώντας ένα υπογεγραμμένο εκτελέσιμο αρχείο, αναδεικνύει ότι οι δράστες διαθέτουν τεχνογνωσία ή τουλάχιστον επαρκείς οδηγίες για να αποφύγουν τις βασικές δικλείδες ασφαλείας. Αφού ο (malware loader) – γνωστός και ως NailaoLoader – επιβεβαιώσει τις συνθήκες του συστήματος, αποκρυπτογραφεί το κεντρικό (payload) και ξεκινά την κρυπτογράφηση των δεδομένων με (AES-256-CTR). Τα αρχεία που επηρεάζονται αποκτούν την κατάληξη “.locked”.
Τέλος, το NailaoLocker αφήνει ένα (HTML ransom note) με υπερβολικά μεγάλο όνομα αρχείου, προτρέποντας τα θύματα να επικοινωνήσουν μέσω μιας προσωρινής διεύθυνσης (ProtonMail). Αξίζει να σημειωθεί ότι δεν υπάρχει καμία σαφής νύξη για κλοπή δεδομένων – πρακτική που συνήθως ακολουθείται από τις περισσότερες σύγχρονες επιχειρήσεις (double extortion ransomware).
Περισσότερα από μία απλή επίθεση
Οι ερευνητές επισημαίνουν ότι γύρω από το NailaoLocker ενδέχεται να υπάρχουν και άλλα κίνητρα. Από τη μία, η χρήση εργαλείων όπως το ShadowPad ή το PlugX υποδεικνύει στοιχεία (cyber-espionage). Από την άλλη, η εισαγωγή (ransomware) λειτουργικότητας φανερώνει επιδίωξη οικονομικών κερδών. Σύμφωνα με αναλυτές όπως η (Symantec) και η (Recorded Future), υπάρχει μια τάση ορισμένων κρατικά υποστηριζόμενων ομάδων να πειραματίζονται με εργαλεία εκβίασης και κερδοφορίας, κάτι που παλαιότερα συνηθιζόταν κυρίως από ομάδες της Βόρειας Κορέας.
Πριν από λίγο καιρό, για παράδειγμα, αναφέρθηκε ότι η ομάδα Emperor Dragonfly (γνωστή και ως Bronze Starlight) έκανε χρήση ενός άλλου (ransomware), του (RA World), στοχεύοντας ασιατικές εταιρείες λογισμικού με λύτρα ύψους 2 εκατομμυρίων δολαρίων. Μολονότι δεν υπάρχει άμεση σύνδεση μεταξύ των δύο περιπτώσεων, εντούτοις παρατηρείται μια ανησυχητική μεταστροφή σε τακτικές που εμπλέκουν τόσο κατασκοπεία όσο και χρηματικό όφελος.
Συμπεράσματα και σχόλια
Η ιστορία του NailaoLocker καταδεικνύει ότι ακόμη και «απλές» μορφές (ransomware) μπορούν να είναι το ίδιο επικίνδυνες, ειδικά όταν ενσωματώνονται σε προσεκτικά σχεδιασμένες επιχειρήσεις παραβίασης δικτύων. Παρόλο που οι ερευνητές δεν θεωρούν το NailaoLocker άκρως προηγμένο, ο συνδυασμός του με εργαλεία (cyber-espionage) αφήνει ανοιχτό το ενδεχόμενο οι επιτιθέμενοι να έχουν πολλαπλούς στόχους: τόσο την κατασκοπεία όσο και τα οικονομικά οφέλη.
Για τους επαγγελματίες ασφαλείας, η σύσταση είναι να θωρακίσουν το (Check Point Security Gateway) εφαρμόζοντας τα τελευταία patches και ελέγχοντας συστηματικά την ύπαρξη ύποπτων ενεργειών, όπως (DLL sideloading) ή μη εξουσιοδοτημένους φορτωτές. Επιπλέον, η παρακολούθηση της δικτυακής κίνησης για ενδείξεις εργαλείων όπως το ShadowPad ή το PlugX μπορεί να αποτρέψει μεγαλύτερες καταστροφές.
Πηγές: BleepingComputer, SymantecThreatIntelligence
