Une charge utile de ransomware précédemment non documentée nommée NailaoLocker a été repérée dans des attaques ciblant des organisations de santé européennes entre juin et octobre 2024.
Les attaques ont exploité CVE-2024-24919, une vulnérabilité de passerelle de sécurité Check Point, pour accéder à des réseaux ciblés et déployer les logiciels malveillants ShadowPad et PlugX, deux familles étroitement associées aux groupes de menaces parrainés par l’État chinois.
Orange Cyberdefense CERT relie les attaques aux tactiques de cyberespionnage chinoises, bien qu’il n’y ait pas suffisamment de preuves pour les attribuer à des groupes spécifiques.
Détails de verrouillage des ongles
Les chercheurs d’Orange rapportent que NailaoLocker est une souche de ransomware relativement peu sophistiquée par rapport aux familles les plus importantes du secteur.
La raison pour laquelle Orange considère NailaoLocker comme un ransomware plutôt basique est qu’il ne met pas fin aux processus de sécurité ou aux services en cours d’exécution, qu’il manque de mécanismes d’anti-débogage et d’évasion du bac à sable et qu’il n’analyse pas les partages réseau.
« Écrit en C++, NailaoLocker est relativement peu sophistiqué et mal conçu, apparemment pas destiné à garantir un cryptage complet », mentionne Orange.
Le logiciel malveillant est déployé sur les systèmes cibles via le chargement latéral de DLL (sensapi.dll) impliquant un exécutable légitime et signé (usysdiag.exe).
Le chargeur de logiciels malveillants (NailaoLoader) vérifie l’environnement en effectuant des vérifications d’adresses mémoire, puis déchiffre la charge utile principale (usysdiag.exé.dat) et le charge en mémoire.
Ensuite, le NailaoLocker s’active et commence à crypter les fichiers à l’aide d’un schéma AES-256-CTR, en ajoutant le « .extension « verrouillée » pour les fichiers cryptés.
Une fois le cryptage terminé, le ransomware supprime une note de rançon HTML avec le nom de fichier très inhabituellement long de « unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please.html. »
Cette demande de rançon demande aux victimes de les contacter à une adresse ProtonMail jetable, qui, dans quelques cas vus par Breachtrace, était johncollinsy@proton[.]moi.
La demande de rançon n’indique pas que des données ont été volées, ce qui est étrange pour la plupart des opérations de ransomware modernes.
Espionnage et ransomware combinés
En enquêtant plus en profondeur, Orange a déclaré avoir découvert un certain chevauchement entre le contenu de la demande de rançon et un outil de ransomware vendu par un groupe de cybercriminalité nommé Kodex Softwares (anciennement Evil Extractor). Cependant, il n’y avait pas de chevauchements directs de code, ce qui rendait la connexion floue.
Orange a partagé plusieurs hypothèses pour les attaques, y compris des opérations sous fausse bannière destinées à distraire, des opérations stratégiques de vol de données doublées de génération de revenus et, plus probablement, un groupe de cyberespionnage chinois « travaille au noir » à côté pour gagner de l’argent.
Pas plus tard que la semaine dernière, Symantec a signalé que des agents soupçonnés d’Emperor Dragonfly (alias Bronze Starlight) déployaient un ransomware RA World contre des sociétés de logiciels asiatiques et exigeaient une rançon de 2 millions de dollars.
Par rapport aux acteurs nord-coréens qui sont connus pour poursuivre plusieurs objectifs en parallèle, y compris des gains financiers via des attaques par ransomware, les acteurs soutenus par l’État chinois n’ont pas suivi cette approche, de sorte que le changement de tactique est préoccupant.