NailaoLocker Ransomware: En stigende trussel mod europæiske organisationer

Hvad er NailaoLocker Ransomware?

NailaoLocker er et ransomware-program skrevet i C++, designet til at kryptere ofres filer og kræve betaling for deres dekryptering. Denne trussel er blevet observeret rettet mod organisationer i Europa, herunder dem i sundhedssektoren. Selvom den ikke er blevet endegyldigt forbundet med nogen kendt cyberkriminel gruppe, ligner dens taktik de berygtede kinesisk-tilknyttede skuespillere.

Når NailaoLocker infiltrerer et system, krypterer det filer og tilføjer en ".locked"-udvidelse til deres navne. For eksempel vil en fil med navnet "document.pdf" blive vist som "document.pdf.locked" efter kryptering. Efter denne proces genererer løsesumwaren en løsesumseddel, der advarer ofre om konsekvenserne af ikke at betale den krævede sum.

Hvad NailaoLocker Ransomware kræver

Løsesedlen informerer ofrene om, at deres filer er krypteret og kun kan gendannes ved at betale en løsesum i Bitcoin . Mens det nøjagtige beløb er uspecificeret, advarer meddelelsen om, at manglende overholdelse inden for en uge vil resultere i sletning af de berørte filer. Angriberne hævder, at når betalingen er foretaget, vil dekryptering finde sted inden for 24 timer.

Ofre frarådes også at manipulere med de krypterede filer. Forsøg på at flytte, slette eller dekryptere dem ved hjælp af tredjepartsapplikationer kan resultere i permanent datatab. På trods af disse advarsler er der dog ingen garanti for, at angriberne vil levere dekrypteringsværktøjer, selvom løsesummen betales.

Her er løsesumsedlen i sin helhed:

[1.Your important files are encrypted. If you want to decrypt your files, please follow the instructions.]

[2.Do you need file decryption service (restore your files to their original state)? If not, your files will be automatically deleted after one week.]

[3.If you need to purchase unlocking service, please contact us and we will tell you the amount (pay with BTC)]

[4.After you complete the payment using BTC, we will deliver the unlocking program within 24 hours. Once the program is run on the locked computer, all files will be unlocked.]

[5.BTC purchase website:hxxps://www.coinbase.com, hxxps://www.bitfinex.com, hxxps://www.binance.com]

[Contact us on johncollinsy@proton.me]

[Notice:Do not delete or move locked files without unlocking them first.]

[Notice:The encryption algorithm uses symmetric encryption, and the password is a string of characters with the same length as the Bitcoin private key. If you can crack Bitcoin, then congratulations, you can decrypt it yourself. Otherwise, please contact us to purchase our decryption tool. Don't have illusions!!!]

En Ransomware-stamme med svag udførelse

I modsætning til mere avanceret ransomware mangler NailaoLocker anti-debugging-funktioner og deaktiverer ikke kritiske systemprocesser eller tjenester før kryptering. Dette tilsyn betyder, at hvis væsentlige systemfiler er krypteret, kan operativsystemet blive ubrugeligt. Derudover, mens nogle ransomware-stammer engagerer sig i dobbelt afpresning ved at stjæle følsomme data, nævner NailaoLockers løsesumnotat ikke eksplicit dataeksfiltrering.

I betragtning af vores store erfaring med ransomware-infektioner kan vi konkludere, at dekryptering uden angribernes samarbejde typisk er umuligt. Selv i tilfælde, hvor løsesummen betales, undlader cyberkriminelle ofte at levere den lovede dekrypteringsnøgle. Det frarådes på det kraftigste at støtte denne ulovlige aktivitet ved at betale løsesummen.

Forebyggelse af yderligere skade fra NailaoLocker

Fjernelse af NailaoLocker fra et inficeret system kan forhindre yderligere filkryptering, men det vil ikke gendanne kompromitterede data. Den eneste effektive måde at gendanne krypterede filer er gennem sikkerhedskopier gemt separat fra det inficerede system. Dette fremhæver vigtigheden af at vedligeholde sikkerhedskopier flere steder, såsom eksterne lagerenheder, der ikke er tilsluttet, og fjernservere.

Lighederne mellem NailaoLocker og anden ransomware

NailaoLocker følger samme mønster som andre ransomware-trusler, såsom Vgod , CipherLocker , FXLocker , SafePay og DeathHunters . Alle disse programmer krypterer filer og kræver betaling for deres gendannelse. De adskiller sig dog på to nøgleaspekter: de anvendte kryptografiske algoritmer (symmetriske eller asymmetriske) og løsesummen, som varierer afhængigt af, om målet er en individuel bruger eller en stor organisation.

Selvom NailaoLocker er relativt usofistikeret, udgør det stadig en betydelig trussel mod virksomheder og institutioner, der mangler robuste cybersikkerhedsforanstaltninger. Ransomware-grupper skræddersyer ofte deres angreb til at udnytte specifikke sårbarheder i deres måls netværk.

Hvordan NailaoLocker infiltrerer systemer

I observerede angreb på europæiske organisationer blev NailaoLocker implementeret ved at udnytte en sårbarhed i Check Point VPN-applikationen, muligvis den, der er identificeret som "CVE-2024-24919." Truslen blev introduceret gennem ShadowPad malware eller PlugX Remote Access Trojan (RAT). Denne ransomware kan dog også spredes via andre almindelige distributionsmetoder.

Cyberkriminelle er ofte afhængige af phishing og social engineering taktik for at sprede ransomware. Ondsindet software er ofte forklædt som eller bundtet med tilsyneladende harmløse filer. Når de er åbnet, starter disse filer malwarens download og udførelse.

Almindelige ransomware distributionsmetoder

Ransomware som NailaoLocker distribueres almindeligvis på forskellige måder, herunder:

• Drive-by downloads fra kompromitterede eller ondsindede websteder
• Trusler af typen loader/bagdør
• Tvivlsomme downloadkilder, såsom tredjeparts fil-hosting-platforme og Peer-to-Peer-delingsnetværk
• Online-svindel designet til at narre brugere til at udføre ondsindede filer
• Malvertising-kampagner, der injicerer skadelige annoncer på legitime websteder
• Spam-e-mails og onlinemeddelelser, der indeholder inficerede vedhæftede filer eller links
• Falske softwareopdateringer og ulovlige aktiveringsværktøjer ("cracks")
• Selvudbredelse via lokale netværk og flytbare lagerenheder

Disse taktikker gør det muligt for ransomware at sprede sig hurtigt og inficere flere systemer i en organisation, hvilket forstærker dens virkning.

Bedste praksis for at undgå Ransomware-infektioner

For at reducere risikoen for ransomware-infektioner bør brugere og organisationer vedtage følgende sikkerhedsforanstaltninger:

• Download kun software fra officielle og velrenommerede websteder
• Opdater regelmæssigt programmer ved hjælp af legitime opdateringsfunktioner
• Vær forsigtig, når du åbner e-mails fra ukendte afsendere, især dem, der indeholder vedhæftede filer eller links
• Anvend stærke netværkssikkerhedsforanstaltninger, herunder firewalls og systemer til registrering af indtrængen
• Vedligehold offline- og cloud-sikkerhedskopier af kritiske data
• Uddan medarbejderne til at genkende phishing og andre social engineering-angreb

Ved at implementere denne praksis kan enkeltpersoner og virksomheder reducere sandsynligheden for, at NailaoLocker angriber eller støder på lignende trusler betydeligt.

Bundlinje

NailaoLocker ransomware, selvom det ikke er den mest sofistikerede stamme, udgør en reel risiko for organisationer, især i Europa. Dens afhængighed af standard krypteringstaktikker og løsepengekrav bringer den på linje med andre ransomware-programmer, men dens mangel på avancerede unddragelsesteknikker kan begrænse dens samlede effektivitet.

Som med al ransomware er forebyggelse det bedste forsvar. Brugere bør forblive på vagt, vedtage bedste sikkerhedspraksis og sikre, at kritiske data sikkerhedskopieres på sikre steder. Da betaling af løsesum ikke garanterer datagendannelse, er det altafgørende at undgå infektion i første omgang.