NailaoLocker Ransomware: Rosnące zagrożenie dla organizacji europejskich
Table of Contents
Czym jest ransomware NailaoLocker?
NailaoLocker to program typu ransomware napisany w C++, zaprojektowany do szyfrowania plików ofiar i żądania zapłaty za ich odszyfrowanie. Zagrożenie to zaobserwowano w organizacjach w Europie, w tym w sektorze opieki zdrowotnej. Chociaż nie zostało ono ostatecznie powiązane z żadną znaną grupą cyberprzestępczą, jego taktyka przypomina taktykę znanych aktorów powiązanych z Chinami.
Gdy NailaoLocker zinfiltruje system, szyfruje pliki i dodaje do ich nazw rozszerzenie „.locked”. Na przykład plik o nazwie „document.pdf” po zaszyfrowaniu będzie wyglądał jak „document.pdf.locked”. Po tym procesie ransomware generuje notatkę o okupie, ostrzegając ofiary o konsekwencjach niezapłacenia żądanej kwoty.
Czego żąda NailaoLocker Ransomware
Notatka o okupie informuje ofiary, że ich pliki są zaszyfrowane i można je odzyskać tylko poprzez zapłacenie okupu w Bitcoinach . Chociaż dokładna kwota nie jest określona, wiadomość ostrzega, że niewykonanie żądania w ciągu tygodnia spowoduje usunięcie zainfekowanych plików. Atakujący twierdzą, że po dokonaniu płatności odszyfrowanie nastąpi w ciągu 24 godzin.
Ofiarom odradza się również ingerencję w zaszyfrowane pliki. Próby przeniesienia, usunięcia lub odszyfrowania ich przy użyciu aplikacji innych firm mogą skutkować trwałą utratą danych. Jednak pomimo tych ostrzeżeń nie ma gwarancji, że atakujący udostępnią narzędzia do odszyfrowania, nawet jeśli okup zostanie zapłacony.
Oto pełna treść żądania okupu:
[1.Your important files are encrypted. If you want to decrypt your files, please follow the instructions.]
[2.Do you need file decryption service (restore your files to their original state)? If not, your files will be automatically deleted after one week.]
[3.If you need to purchase unlocking service, please contact us and we will tell you the amount (pay with BTC)]
[4.After you complete the payment using BTC, we will deliver the unlocking program within 24 hours. Once the program is run on the locked computer, all files will be unlocked.]
[5.BTC purchase website:hxxps://www.coinbase.com, hxxps://www.bitfinex.com, hxxps://www.binance.com]
[Contact us on johncollinsy@proton.me]
[Notice:Do not delete or move locked files without unlocking them first.]
[Notice:The encryption algorithm uses symmetric encryption, and the password is a string of characters with the same length as the Bitcoin private key. If you can crack Bitcoin, then congratulations, you can decrypt it yourself. Otherwise, please contact us to purchase our decryption tool. Don't have illusions!!!]
Szczep ransomware ze słabym wykonaniem
W przeciwieństwie do bardziej zaawansowanego ransomware, NailaoLocker nie ma funkcji antydebugowania i nie wyłącza krytycznych procesów systemowych ani usług przed szyfrowaniem. To niedopatrzenie oznacza, że jeśli istotne pliki systemowe zostaną zaszyfrowane, system operacyjny może stać się bezużyteczny. Ponadto, podczas gdy niektóre odmiany ransomware stosują podwójne wymuszenia, kradnąc poufne dane, notatka o okupie NailaoLocker nie wspomina wprost o eksfiltracji danych.
Biorąc pod uwagę nasze bogate doświadczenie z infekcjami ransomware, możemy stwierdzić, że odszyfrowanie bez współpracy atakujących jest zazwyczaj niemożliwe. Nawet w przypadkach, gdy okup jest zapłacony, cyberprzestępcy często nie dostarczają obiecanego klucza deszyfrującego. Wspieranie tej nielegalnej działalności poprzez płacenie okupu jest zdecydowanie odradzane.
Zapobieganie dalszym szkodom spowodowanym przez NailaoLocker
Usunięcie NailaoLocker z zainfekowanego systemu może zapobiec dodatkowemu szyfrowaniu plików, ale nie przywróci zagrożonych danych. Jedynym skutecznym sposobem odzyskania zaszyfrowanych plików są kopie zapasowe przechowywane oddzielnie od zainfekowanego systemu. Podkreśla to znaczenie utrzymywania kopii zapasowych w wielu lokalizacjach, takich jak odłączone zewnętrzne urządzenia pamięci masowej i zdalne serwery.
Podobieństwa między NailaoLockerem a innymi programami typu ransomware
NailaoLocker podąża tym samym schematem co inne zagrożenia ransomware, takie jak Vgod , CipherLocker , FXLocker , SafePay i DeathHunters . Wszystkie te programy szyfrują pliki i żądają zapłaty za ich przywrócenie. Różnią się jednak dwoma kluczowymi aspektami: używanymi algorytmami kryptograficznymi (symetrycznymi lub asymetrycznymi) oraz kwotą okupu, która różni się w zależności od tego, czy celem jest indywidualny użytkownik, czy duża organizacja.
Chociaż NailaoLocker jest stosunkowo mało wyrafinowany, nadal stanowi poważne zagrożenie dla firm i instytucji, którym brakuje solidnych środków cyberbezpieczeństwa. Grupy ransomware często dostosowują swoje ataki do wykorzystywania konkretnych luk w sieciach swoich celów.
Jak NailaoLocker infiltruje systemy
W zaobserwowanych atakach na organizacje europejskie, NailaoLocker został wdrożony poprzez wykorzystanie luki w aplikacji Check Point VPN, prawdopodobnie tej zidentyfikowanej jako „CVE-2024-24919”. Zagrożenie zostało wprowadzone za pośrednictwem złośliwego oprogramowania ShadowPad lub trojana PlugX Remote Access Trojan (RAT). Jednak to ransomware mogło rozprzestrzeniać się również za pośrednictwem innych powszechnych metod dystrybucji.
Cyberprzestępcy często polegają na taktyce phishingu i inżynierii społecznej, aby rozprzestrzeniać ransomware. Złośliwe oprogramowanie jest często maskowane lub dołączane do pozornie nieszkodliwych plików. Po otwarciu pliki te inicjują pobieranie i wykonywanie złośliwego oprogramowania.
Typowe metody dystrybucji oprogramowania ransomware
Oprogramowanie typu ransomware, takie jak NailaoLocker, jest powszechnie rozpowszechniane za pośrednictwem różnych metod, w tym:
- Pobieranie plików bez wiedzy użytkownika z zainfekowanych lub złośliwych witryn internetowych
- Zagrożenia typu loader/backdoor
- Podejrzane źródła pobierania, takie jak zewnętrzne platformy hostingu plików i sieci udostępniania peer-to-peer
- Oszustwa internetowe mające na celu nakłonienie użytkowników do uruchomienia złośliwych plików
- Kampanie złośliwego marketingu, które wstrzykują szkodliwe reklamy do legalnych witryn
- Wiadomości spamowe i wiadomości błyskawiczne zawierające zainfekowane załączniki lub linki
- Fałszywe aktualizacje oprogramowania i nielegalne narzędzia aktywacyjne („cracki”)
- Samodzielne rozprzestrzenianie się za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej
Tego typu taktyki umożliwiają szybkie rozprzestrzenianie się oprogramowania ransomware i infekowanie wielu systemów w organizacji, co dodatkowo zwiększa jego skutki.
Najlepsze praktyki unikania infekcji ransomware
Aby ograniczyć ryzyko infekcji oprogramowaniem ransomware, użytkownicy i organizacje powinni podjąć następujące środki bezpieczeństwa:
- Pobieraj oprogramowanie tylko z oficjalnych i renomowanych stron internetowych
- Regularnie aktualizuj programy, korzystając z legalnych funkcji aktualizacji
- Zachowaj ostrożność otwierając wiadomości e-mail od nieznanych nadawców, zwłaszcza te zawierające załączniki lub linki
- Stosuj silne środki bezpieczeństwa sieci, w tym zapory sieciowe i systemy wykrywania włamań
- Utrzymuj kopie zapasowe krytycznych danych w trybie offline i w chmurze
- Szkolenie pracowników w zakresie rozpoznawania ataków phishingowych i innych ataków socjotechnicznych
Wdrażając te praktyki, osoby prywatne i firmy mogą znacznie zmniejszyć prawdopodobieństwo ataku NailaoLocker lub napotkania podobnych zagrożeń.
Podsumowanie
Oprogramowanie ransomware NailaoLocker, choć nie jest najbardziej wyrafinowanym szczepem, stanowi realne zagrożenie dla organizacji, szczególnie w Europie. Jego zależność od standardowych taktyk szyfrowania i żądań okupu dorównuje innym programom ransomware, jednak brak zaawansowanych technik unikania może ograniczać jego ogólną skuteczność.
Jak w przypadku wszystkich ransomware, najlepszą obroną jest zapobieganie. Użytkownicy powinni zachować czujność, stosować najlepsze praktyki bezpieczeństwa i upewnić się, że krytyczne dane są kopiowane zapasowo w bezpiecznych lokalizacjach. Ponieważ zapłacenie okupu nie gwarantuje odzyskania danych, najważniejsze jest unikanie infekcji.
