NailaoLocker Ransomware: Uma ameaça crescente para organizações europeias

O que é NailaoLocker Ransomware?

NailaoLocker é um programa do tipo ransomware escrito em C++, projetado para criptografar os arquivos das vítimas e exigir pagamento pela descriptografia. Essa ameaça foi observada visando organizações na Europa, incluindo aquelas no setor de saúde. Embora não tenha sido definitivamente vinculado a nenhum grupo cibercriminoso conhecido, suas táticas se assemelham às de notórios atores afiliados à China.

Depois que o NailaoLocker se infiltra em um sistema, ele criptografa arquivos e acrescenta uma extensão ".locked" aos seus nomes. Por exemplo, um arquivo chamado "document.pdf" apareceria como "document.pdf.locked" após a criptografia. Após esse processo, o ransomware gera uma nota de resgate alertando as vítimas sobre as consequências de não pagar a quantia exigida.

O que o NailaoLocker Ransomware exige

A nota de resgate informa às vítimas que seus arquivos estão criptografados e só podem ser recuperados pagando um resgate em Bitcoin . Embora o valor exato não seja especificado, a mensagem avisa que o não cumprimento dentro de uma semana resultará na exclusão dos arquivos afetados. Os invasores alegam que, uma vez feito o pagamento, a descriptografia ocorrerá em 24 horas.

As vítimas também são aconselhadas a não adulterar os arquivos criptografados. Tentativas de movê-los, excluí-los ou descriptografá-los usando aplicativos de terceiros podem resultar em perda permanente de dados. No entanto, apesar desses avisos, não há garantia de que os invasores fornecerão ferramentas de descriptografia, mesmo que o resgate seja pago.

Aqui está a nota de resgate na íntegra:

[1.Your important files are encrypted. If you want to decrypt your files, please follow the instructions.]

[2.Do you need file decryption service (restore your files to their original state)? If not, your files will be automatically deleted after one week.]

[3.If you need to purchase unlocking service, please contact us and we will tell you the amount (pay with BTC)]

[4.After you complete the payment using BTC, we will deliver the unlocking program within 24 hours. Once the program is run on the locked computer, all files will be unlocked.]

[5.BTC purchase website:hxxps://www.coinbase.com, hxxps://www.bitfinex.com, hxxps://www.binance.com]

[Contact us on johncollinsy@proton.me]

[Notice:Do not delete or move locked files without unlocking them first.]

[Notice:The encryption algorithm uses symmetric encryption, and the password is a string of characters with the same length as the Bitcoin private key. If you can crack Bitcoin, then congratulations, you can decrypt it yourself. Otherwise, please contact us to purchase our decryption tool. Don't have illusions!!!]

Uma cepa de ransomware com execução fraca

Ao contrário de ransomwares mais avançados, o NailaoLocker não possui recursos anti-depuração e não desabilita processos ou serviços críticos do sistema antes da criptografia. Essa supervisão significa que, se arquivos essenciais do sistema forem criptografados, o sistema operacional pode se tornar inutilizável. Além disso, enquanto algumas cepas de ransomware se envolvem em dupla extorsão roubando dados confidenciais, a nota de resgate do NailaoLocker não menciona explicitamente a exfiltração de dados.

Dada a nossa vasta experiência com infecções de ransomware, podemos concluir que a descriptografia sem a cooperação dos invasores é tipicamente impossível. Mesmo em casos em que o resgate é pago, os cibercriminosos frequentemente falham em entregar a chave de descriptografia prometida. Apoiar essa atividade ilícita pagando o resgate é fortemente desencorajado.

Prevenindo mais danos causados pelo NailaoLocker

Remover o NailaoLocker de um sistema infectado pode impedir criptografia adicional de arquivos, mas não restaurará dados comprometidos. A única maneira eficaz de recuperar arquivos criptografados é por meio de backups armazenados separadamente do sistema infectado. Isso destaca a importância de manter backups em vários locais, como dispositivos de armazenamento externo desconectados e servidores remotos.

As semelhanças entre NailaoLocker e outros ransomwares

NailaoLocker segue o mesmo padrão de outras ameaças de ransomware, como Vgod , CipherLocker , FXLocker , SafePay e DeathHunters . Todos esses programas criptografam arquivos e exigem pagamento para sua restauração. No entanto, eles diferem em dois aspectos principais: os algoritmos criptográficos usados (simétricos ou assimétricos) e o valor do resgate, que varia com base se o alvo é um usuário individual ou uma grande organização.

Embora o NailaoLocker seja relativamente pouco sofisticado, ele ainda representa uma ameaça significativa para empresas e instituições que não têm medidas robustas de segurança cibernética. Os grupos de ransomware geralmente adaptam seus ataques para explorar vulnerabilidades específicas nas redes de seus alvos.

Como NailaoLocker se infiltra em sistemas

Em ataques observados em organizações europeias, o NailaoLocker foi implantado explorando uma vulnerabilidade no aplicativo Check Point VPN, possivelmente a identificada como "CVE-2024-24919". A ameaça foi introduzida por meio do malware ShadowPad ou do PlugX Remote Access Trojan (RAT). No entanto, esse ransomware também pode se espalhar por outros métodos comuns de distribuição.

Os criminosos cibernéticos frequentemente contam com táticas de phishing e engenharia social para espalhar ransomware. O software malicioso é frequentemente disfarçado ou empacotado com arquivos aparentemente inofensivos. Uma vez abertos, esses arquivos iniciam o download e a execução do malware.

Métodos comuns de distribuição de ransomware

Ransomware como NailaoLocker é comumente distribuído por vários meios, incluindo:

• Downloads drive-by de sites comprometidos ou maliciosos
• Ameaças do tipo carregador/backdoor
• Fontes de download duvidosas, como plataformas de hospedagem de arquivos de terceiros e redes de compartilhamento ponto a ponto
• Golpes online projetados para induzir usuários a executar arquivos maliciosos
• Campanhas de malvertising que injetam anúncios prejudiciais em sites legítimos
• E-mails de spam e mensagens instantâneas contendo anexos ou links infectados
• Atualizações de software falsas e ferramentas de ativação ilegais ("cracks")
• Autopropagação por meio de redes locais e dispositivos de armazenamento removíveis

Essas táticas permitem que o ransomware se espalhe rapidamente e infecte vários sistemas dentro de uma organização, ampliando seu impacto.

Melhores práticas para evitar infecções por ransomware

Para reduzir o risco de infecções por ransomware, usuários e organizações devem adotar as seguintes medidas de segurança:

• Baixe software apenas de sites oficiais e confiáveis
• Atualize regularmente os programas usando funções de atualização legítimas
• Tenha cuidado ao abrir e-mails de remetentes desconhecidos, especialmente aqueles que contêm anexos ou links
• Empregar medidas fortes de segurança de rede, incluindo firewalls e sistemas de detecção de intrusão
• Manter backups offline e na nuvem de dados críticos
• Educar os funcionários para reconhecer phishing e outros ataques de engenharia social

Ao implementar essas práticas, indivíduos e empresas podem reduzir significativamente a probabilidade de ataques do NailaoLocker ou de ameaças semelhantes.

Conclusão

O ransomware NailaoLocker, embora não seja a cepa mais sofisticada, representa um risco real para as organizações, particularmente na Europa. Sua dependência de táticas de criptografia padrão e exigências de resgate o alinha com outros programas de ransomware, mas sua falta de técnicas avançadas de evasão pode limitar sua eficácia geral.

Como acontece com todos os ransomwares, a prevenção é a melhor defesa. Os usuários devem permanecer vigilantes, adotar as melhores práticas de segurança e garantir que os dados críticos sejam armazenados em backup em locais seguros. Como pagar o resgate não garante a recuperação dos dados, evitar a infecção em primeiro lugar é fundamental.