Investigadores de seguridad han hallado la existencia de una nueva carga útil de ransomware -hasta ahora no documentada- que ha sido bautizada con el nombre de 'NailaoLocker'. De junio a octubre del año pasado tuvieron como objetivo distintas organizaciones sanitarias europeas.
Los ataques de esta operación han explotado una vulnerabilidad de Check Point Security Gateway con el fin de obtner acceso a redes específicas y desplegar el malware ShadowPad y PlugX.
Estas dos familias están asociadas estrechamente con grupos de amenazas patrocinado por el estado chino, según se hace eco el medio Bleeping Computer.
El CERT de Orange Cyberdefense ha vinculado los ataques con China, aunque por ahora no hay evidencias suficientes como para atribuirlos a grupos específicos.
Los investigadores califican a NailaoLocker como una cepa de ransomware relativamente poco sofisticada en comparación con otras familias del sector. El motivo es que no concluye los procesos de seguridad ni los servicios en ejecución. Además, carece de mecanismos de antidepuración y evasión de sandbox y no escanea los recursos compartidos de la red.
"Escrito en C++, NailaoLocker es relativamente poco sofisticado y está mal diseñado; aparentemente no está pensado para garantizar un cifrado completo", menciona Orange.
Pistas y cosas confusas
Hay un detalle curioso y es que la nota de rescate no indica que se hayan robado datos, algo muy atípico en las operaciones de ransomware modernas.
La compañía naranja, investigando más a fondo, se ha percatado de cierta supersposición entre el contenido de la nota de rescate y una herramienta de ransomware vendida por un grupo que se hace llamar Kodex Software (antes conocido como Evil Extractor). Pero el código no tiene esas coincidencias.
Orange tiene varias teorías en mente y una de ellas es que sean operaciones de falsa bandera para distraer u operaciones estratégicas de roos de datos duplicadas con la generación de ingresos. Su última tesis es que los autores sean un grupo chino de ciberepionaje que trabaja "de manera remota".