Медицинские компании стали жертвами нового штамма вымогательского ПО

Эксперты предупредили о новой разновидности рансомвара, названной NailaoLocker. Этот вирус целенаправленно атакует организации здравоохранения в Европе.

В исследовательской компании Orange Cyberdefense обнаружили, что злоумышленники, распространяющие NailaoLocker, вероятно, имеют китайское происхождение.

Угроза заключается в использовании уязвимости высокой степени опасности в Check Point Security Gateways для перебора и извлечения хешей паролей всех локальных учетных записей. Эта уязвимость отслеживается под номером CVE-2024-24919 и была исправлена в мае 2024 года.

Orange Cyberdefense сообщили, что из-за того, что все наблюдаемые инстанции Check Point были уязвимы к моменту атаки, CVE-2024-24919 вероятно помогла злоумышленникам получить учетные данные пользователей и подключиться к виртуальной частной сети (VPN) с использованием легитимного аккаунта.

Нападающие эксплуатируют эту уязвимость для боковой загрузки уязвимого DLL-файла, который затем используется для развертывания вредоносных программ ShadowPad и PlugX. Эти программы, в свою очередь, используются для распространения NailaoLocker и шифрования файлов на компьютерах жертв.

Сам рансомвар довольно примитивен, почти любительский по своему дизайну. По словам Orange Cyberdefense, он не убивает процессы безопасности или работающие службы, не использует антисанкционные и античтение методы, и не сканирует сетевые ресурсы. Написанный на C++, NailaoLocker считается относительно примитивным и плохо спроектированным, что подразумевает, что полная шифровка файлов не является его главной задачей.

Это вызывает предположения о том, что шифрование может быть просто отвлекающим манёвром для привлечения внимания от истинной цели — кражи конфиденциальных данных у жертв или получения дополнительного дохода в процессе выполнения главной задачи, связанной с кибершпионажем.

Однако исследователи отметили, что основными целевыми организациями являются учреждения здравоохранения, которые не являются традиционными целями для кибершпионажа. Исследователи пока не могут однозначно приписать эту атаку какому-либо конкретному злоумышленнику.

Источник: BleepingComputer