NailaoLocker Ransomware: Μια αυξανόμενη απειλή για τους ευρωπαϊκούς οργανισμούς
Table of Contents
Τι είναι το NailaoLocker Ransomware;
Το NailaoLocker είναι ένα πρόγραμμα τύπου ransomware γραμμένο σε C++, σχεδιασμένο να κρυπτογραφεί τα αρχεία των θυμάτων και να απαιτεί πληρωμή για την αποκρυπτογράφηση τους. Αυτή η απειλή έχει παρατηρηθεί να στοχεύει οργανισμούς στην Ευρώπη, συμπεριλαμβανομένων εκείνων στον τομέα της υγειονομικής περίθαλψης. Αν και δεν έχει συνδεθεί οριστικά με καμία γνωστή ομάδα εγκληματιών στον κυβερνοχώρο, οι τακτικές της μοιάζουν με εκείνες των διαβόητων παραγόντων που συνδέονται με την Κίνα.
Μόλις το NailaoLocker διεισδύσει σε ένα σύστημα, κρυπτογραφεί τα αρχεία και προσθέτει μια επέκταση ".locked" στα ονόματά τους. Για παράδειγμα, ένα αρχείο με το όνομα "document.pdf" θα εμφανιστεί ως "document.pdf.locked" μετά την κρυπτογράφηση. Μετά από αυτή τη διαδικασία, το ransomware δημιουργεί ένα σημείωμα λύτρων που προειδοποιεί τα θύματα για τις συνέπειες της μη πληρωμής του ζητούμενου ποσού.
Τι απαιτεί το NailaoLocker Ransomware
Το σημείωμα λύτρων ενημερώνει τα θύματα ότι τα αρχεία τους είναι κρυπτογραφημένα και μπορούν να ανακτηθούν μόνο με την πληρωμή λύτρων σε Bitcoin . Αν και το ακριβές ποσό δεν έχει καθοριστεί, το μήνυμα προειδοποιεί ότι η μη συμμόρφωση εντός μιας εβδομάδας θα έχει ως αποτέλεσμα τη διαγραφή των επηρεαζόμενων αρχείων. Οι εισβολείς ισχυρίζονται ότι μόλις γίνει η πληρωμή, η αποκρυπτογράφηση θα πραγματοποιηθεί εντός 24 ωρών.
Συνιστάται επίσης στα θύματα να μην παραβιάζουν τα κρυπτογραφημένα αρχεία. Οι προσπάθειες μετακίνησης, διαγραφής ή αποκρυπτογράφησης τους χρησιμοποιώντας εφαρμογές τρίτων ενδέχεται να έχουν ως αποτέλεσμα μόνιμη απώλεια δεδομένων. Ωστόσο, παρά αυτές τις προειδοποιήσεις, δεν υπάρχει καμία εγγύηση ότι οι εισβολείς θα παράσχουν εργαλεία αποκρυπτογράφησης ακόμη και αν καταβληθούν τα λύτρα.
Ακολουθεί ολόκληρο το σημείωμα για τα λύτρα:
[1.Your important files are encrypted. If you want to decrypt your files, please follow the instructions.]
[2.Do you need file decryption service (restore your files to their original state)? If not, your files will be automatically deleted after one week.]
[3.If you need to purchase unlocking service, please contact us and we will tell you the amount (pay with BTC)]
[4.After you complete the payment using BTC, we will deliver the unlocking program within 24 hours. Once the program is run on the locked computer, all files will be unlocked.]
[5.BTC purchase website:hxxps://www.coinbase.com, hxxps://www.bitfinex.com, hxxps://www.binance.com]
[Contact us on johncollinsy@proton.me]
[Notice:Do not delete or move locked files without unlocking them first.]
[Notice:The encryption algorithm uses symmetric encryption, and the password is a string of characters with the same length as the Bitcoin private key. If you can crack Bitcoin, then congratulations, you can decrypt it yourself. Otherwise, please contact us to purchase our decryption tool. Don't have illusions!!!]
Ένα στέλεχος Ransomware με αδύναμη εκτέλεση
Σε αντίθεση με τα πιο προηγμένα ransomware, το NailaoLocker δεν διαθέτει δυνατότητες κατά του εντοπισμού σφαλμάτων και δεν απενεργοποιεί κρίσιμες διαδικασίες ή υπηρεσίες συστήματος πριν από την κρυπτογράφηση. Αυτή η παράβλεψη σημαίνει ότι εάν τα βασικά αρχεία συστήματος είναι κρυπτογραφημένα, το λειτουργικό σύστημα μπορεί να καταστεί άχρηστο. Επιπλέον, ενώ ορισμένα στελέχη ransomware εμπλέκονται σε διπλό εκβιασμό κλέβοντας ευαίσθητα δεδομένα, το σημείωμα λύτρων του NailaoLocker δεν αναφέρει ρητά την εξαγωγή δεδομένων.
Δεδομένης της εκτεταμένης εμπειρίας μας με μολύνσεις ransomware, μπορούμε να συμπεράνουμε ότι η αποκρυπτογράφηση χωρίς τη συνεργασία των εισβολέων είναι συνήθως αδύνατη. Ακόμη και σε περιπτώσεις που καταβάλλονται τα λύτρα, οι εγκληματίες του κυβερνοχώρου συχνά αποτυγχάνουν να παραδώσουν το υποσχεμένο κλειδί αποκρυπτογράφησης. Η υποστήριξη αυτής της παράνομης δραστηριότητας με την πληρωμή των λύτρων αποθαρρύνεται έντονα.
Αποτροπή περαιτέρω ζημιών από το NailaoLocker
Η κατάργηση του NailaoLocker από ένα μολυσμένο σύστημα θα μπορούσε να αποτρέψει την πρόσθετη κρυπτογράφηση αρχείων, αλλά δεν θα επαναφέρει τα παραβιασμένα δεδομένα. Ο μόνος αποτελεσματικός τρόπος για την ανάκτηση κρυπτογραφημένων αρχείων είναι μέσω αντιγράφων ασφαλείας που αποθηκεύονται χωριστά από το μολυσμένο σύστημα. Αυτό υπογραμμίζει τη σημασία της διατήρησης αντιγράφων ασφαλείας σε πολλές τοποθεσίες, όπως οι αποσυνδεδεμένες εξωτερικές συσκευές αποθήκευσης και οι απομακρυσμένοι διακομιστές.
Οι ομοιότητες μεταξύ του NailaoLocker και άλλων Ransomware
Το NailaoLocker ακολουθεί το ίδιο μοτίβο με άλλες απειλές ransomware, όπως το Vgod , το CipherLocker , το FXLocker , το SafePay και το DeathHunters . Όλα αυτά τα προγράμματα κρυπτογραφούν τα αρχεία και απαιτούν πληρωμή για την αποκατάστασή τους. Ωστόσο, διαφέρουν σε δύο βασικές πτυχές: τους κρυπτογραφικούς αλγόριθμους που χρησιμοποιούνται (συμμετρικοί ή ασύμμετροι) και το ποσό των λύτρων, το οποίο ποικίλλει ανάλογα με το αν ο στόχος είναι ένας μεμονωμένος χρήστης ή ένας μεγάλος οργανισμός.
Ενώ το NailaoLocker είναι σχετικά απλό, εξακολουθεί να αποτελεί σημαντική απειλή για επιχειρήσεις και ιδρύματα που δεν διαθέτουν ισχυρά μέτρα κυβερνοασφάλειας. Οι ομάδες ransomware συχνά προσαρμόζουν τις επιθέσεις τους για να εκμεταλλευτούν συγκεκριμένα τρωτά σημεία στα δίκτυα των στόχων τους.
Πώς το NailaoLocker διεισδύει στα συστήματα
Σε επιθέσεις που παρατηρήθηκαν σε ευρωπαϊκούς οργανισμούς, το NailaoLocker αναπτύχθηκε με εκμετάλλευση μιας ευπάθειας στην εφαρμογή Check Point VPN, πιθανώς αυτή που προσδιορίστηκε ως "CVE-2024-24919". Η απειλή εισήχθη μέσω του κακόβουλου λογισμικού ShadowPad ή του PlugX Remote Access Trojan (RAT). Ωστόσο, αυτό το ransomware θα μπορούσε επίσης να εξαπλωθεί μέσω άλλων κοινών μεθόδων διανομής.
Οι εγκληματίες του κυβερνοχώρου βασίζονται συχνά σε τακτικές phishing και κοινωνικής μηχανικής για τη διάδοση ransomware. Το κακόβουλο λογισμικό συχνά μεταμφιέζεται ή συνοδεύεται από φαινομενικά αβλαβή αρχεία. Μόλις ανοίξουν, αυτά τα αρχεία ξεκινούν τη λήψη και την εκτέλεση του κακόβουλου λογισμικού.
Κοινές μέθοδοι διανομής Ransomware
Το ransomware όπως το NailaoLocker διανέμεται συνήθως με διάφορους τρόπους, όπως:
- Πραγματοποιήστε λήψεις από παραβιασμένους ή κακόβουλους ιστότοπους
- Απειλές τύπου loader/backdoor
- Αμφίβολες πηγές λήψης, όπως πλατφόρμες φιλοξενίας αρχείων τρίτων και δίκτυα κοινής χρήσης Peer-to-Peer
- Διαδικτυακές απάτες που έχουν σχεδιαστεί για να ξεγελάσουν τους χρήστες να εκτελέσουν κακόβουλα αρχεία
- Καμπάνιες κακόβουλης διαφήμισης που εισάγουν επιβλαβείς διαφημίσεις σε νόμιμους ιστότοπους
- Ανεπιθύμητα email και άμεσα μηνύματα που περιέχουν μολυσμένα συνημμένα ή συνδέσμους
- Ψεύτικες ενημερώσεις λογισμικού και παράνομα εργαλεία ενεργοποίησης («σπασίματα»)
- Αυτοδιάδοση μέσω τοπικών δικτύων και αφαιρούμενων συσκευών αποθήκευσης
Αυτές οι τακτικές επιτρέπουν στο ransomware να εξαπλωθεί γρήγορα και να μολύνει πολλαπλά συστήματα μέσα σε έναν οργανισμό, ενισχύοντας τον αντίκτυπό του.
Βέλτιστες πρακτικές για την αποφυγή λοιμώξεων από λογισμικό Ransomware
Για να μειώσουν τον κίνδυνο μολύνσεων από ransomware, οι χρήστες και οι οργανισμοί θα πρέπει να υιοθετήσουν τα ακόλουθα μέτρα ασφαλείας:
- Λήψη λογισμικού μόνο από επίσημους και αξιόπιστους ιστότοπους
- Ενημερώνετε τακτικά τα προγράμματα χρησιμοποιώντας νόμιμες λειτουργίες ενημέρωσης
- Να είστε προσεκτικοί όταν ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς, ειδικά αυτά που περιέχουν συνημμένα ή συνδέσμους
- Εφαρμόστε ισχυρά μέτρα ασφαλείας δικτύου, συμπεριλαμβανομένων των τείχη προστασίας και των συστημάτων ανίχνευσης εισβολής
- Διατηρήστε αντίγραφα ασφαλείας κρίσιμων δεδομένων εκτός σύνδεσης και cloud
- Εκπαιδεύστε τους υπαλλήλους να αναγνωρίζουν το phishing και άλλες επιθέσεις κοινωνικής μηχανικής
Με την εφαρμογή αυτών των πρακτικών, άτομα και επιχειρήσεις θα μπορούσαν να μειώσουν σημαντικά την πιθανότητα επίθεσης του NailaoLocker ή να αντιμετωπίσουν παρόμοιες απειλές.
Κατώτατη γραμμή
Το ransomware NailaoLocker, αν και δεν είναι το πιο εξελιγμένο στέλεχος, αποτελεί πραγματικό κίνδυνο για τους οργανισμούς, ιδιαίτερα στην Ευρώπη. Η εξάρτησή του από τυπικές τακτικές κρυπτογράφησης και απαιτήσεις λύτρων το ευθυγραμμίζει με άλλα προγράμματα ransomware, ωστόσο η έλλειψη προηγμένων τεχνικών φοροδιαφυγής μπορεί να περιορίσει τη συνολική του αποτελεσματικότητα.
Όπως συμβαίνει με όλα τα ransomware, η πρόληψη είναι η καλύτερη άμυνα. Οι χρήστες θα πρέπει να παραμείνουν σε εγρήγορση, να υιοθετούν τις βέλτιστες πρακτικές ασφαλείας και να διασφαλίζουν ότι δημιουργούνται αντίγραφα ασφαλείας κρίσιμων δεδομένων σε ασφαλείς τοποθεσίες. Δεδομένου ότι η πληρωμή των λύτρων δεν εγγυάται την ανάκτηση δεδομένων, η αποφυγή μόλυνσης είναι πρωταρχικής σημασίας.
