Ransomware NailaoLocker

Lo scenario in continua evoluzione delle minacce informatiche rende essenziale per individui e istituzioni adottare misure proattive per proteggere i propri asset digitali. Tra i molti tipi di software dannosi che circolano online, il ransomware rimane uno dei più destabilizzanti. Il ransomware NailaoLocker, un'aggiunta relativamente nuova alla crescente lista di minacce basate sulla crittografia, è stato osservato prendere di mira le organizzazioni, in particolare in Europa. Comprendere come funziona e come difendersi è fondamentale per ridurre al minimo i potenziali danni.

Come funziona il ransomware NailaoLocker

Il ransomware NailaoLocker è scritto nel linguaggio di programmazione C++ ed è progettato per crittografare i file sui dispositivi infetti. Una volta attivo, blocca sistematicamente i file e aggiunge un'estensione '.locked' ai loro nomi. Ad esempio, un documento denominato 'report.doc' verrebbe rinominato in 'report.doc.locked', rendendolo inaccessibile alla vittima. Dopo aver completato il processo di crittografia, il ransomware lascia una nota di riscatto contenente le istruzioni su come riottenere l'accesso ai file interessati.

Le vittime vengono informate che i loro dati saranno ripristinati solo se pagheranno un riscatto in Bitcoin. La nota avverte che il mancato rispetto delle richieste degli aggressori entro una settimana comporterà l'eliminazione permanente dei file. Inoltre, mette in guardia dal tentativo di decifrare o modificare manualmente i file bloccati, poiché tali azioni potrebbero portare a un'ulteriore perdita di dati.

Link alle precedenti attività dei criminali informatici

NailaoLocker è stato osservato in attacchi che presentano somiglianze con quelli orchestrati da noti autori di minacce cinesi. Sebbene non sia stata fatta alcuna attribuzione diretta, i ricercatori ipotizzano che questo ransomware potrebbe essere gestito da un gruppo con legami con la Cina. È interessante notare che, mentre la maggior parte delle campagne ransomware moderne impiegano tattiche di doppia estorsione, ovvero rubare dati sensibili prima di crittografarli, NailaoLocker non menziona esplicitamente l'esfiltrazione di informazioni nel suo messaggio di riscatto. Tuttavia, le prove suggeriscono che tenta di raccogliere dati di sistema, probabilmente per scopi di raccolta di informazioni.

I limiti tecnici di NailaoLocker

Nonostante sia una minaccia dirompente, NailaoLocker non ha alcune delle funzionalità sofisticate presenti nei ceppi di ransomware più avanzati. Non impiega tecniche anti-debug, né tenta di disabilitare i processi di sistema essenziali prima di avviare la crittografia. Questa limitazione solleva preoccupazioni sul fatto che il ransomware potrebbe inavvertitamente rendere inutilizzabile un sistema infetto crittografando i file critici necessari per la sua funzionalità.

Come NailaoLocker infetta i sistemi

NailaoLocker è stato collegato ad attacchi che sfruttano vulnerabilità nel software Check Point VPN, in particolare il difetto tracciato come "CVE-2024-24919". I ricercatori hanno scoperto che il ransomware è stato distribuito su sistemi compromessi tramite altri strumenti dannosi, come il malware ShadowPad e il trojan di accesso remoto PlugX (RAT). Queste minacce hanno fornito agli aggressori l'accesso remoto alle macchine prese di mira, consentendo loro di eseguire NailaoLocker e iniziare il processo di crittografia.

Tuttavia, il ransomware viene spesso diffuso utilizzando più tattiche di distribuzione. I vettori di infezione comuni includono:

• Allegati e-mail fraudolenti e link nei messaggi di phishing
• Download drive-by da siti web compromessi o ingannevoli
• Sfruttare le vulnerabilità in software e infrastrutture di rete obsoleti
• Aggiornamenti software falsi e programmi piratati
• Applicazioni trojanizzate che sembrano legittime ma contengono minacce nascoste
• Accesso remoto non autorizzato abilitato tramite password deboli o perdite di credenziali

Perché pagare il riscatto è rischioso

Per le vittime di attacchi ransomware, recuperare file crittografati è spesso impossibile senza la chiave di decrittazione detenuta dagli aggressori. Sfortunatamente, pagare il riscatto richiesto non garantisce che verrà fornito lo strumento di decrittazione promesso. I criminali informatici non hanno alcun obbligo di rispettare la loro parte dell'accordo e alcune vittime si sono ritrovate a pagare ingenti somme solo per ricevere software di decrittazione non funzionante o incompleto. Inoltre, i pagamenti del riscatto incoraggiano la continuazione di questa attività illegale, finanziando ulteriori reati informatici.

Le migliori pratiche di sicurezza per difendersi dal ransomware

Per prevenire le infezioni da ransomware è necessaria una strategia di sicurezza multistrato che includa sia difese tecniche sia consapevolezza dell'utente. Implementando le seguenti best practice, il rischio di cadere vittima di minacce come NailaoLocker sarà notevolmente ridotto:

• Backup regolari dei dati : conserva più copie dei file essenziali in posizioni diverse, inclusi backup offline archiviati su unità esterne e archiviazione cloud con funzionalità di versioning. Ciò garantisce che anche se i file sono crittografati, possono essere recuperati senza pagare un riscatto.

Il ransomware NailaoLocker evidenzia l'evoluzione continua delle minacce informatiche. Prende di mira le organizzazioni sfruttando le vulnerabilità del software e le configurazioni di sicurezza deboli. Sebbene questo particolare ransomware potrebbe non essere il ceppo più avanzato, la sua capacità di crittografare i file e interrompere le operazioni non dovrebbe essere sottovalutata. Implementare forti difese di sicurezza informatica, mantenere backup dei dati adeguati e rimanere informati sulle minacce emergenti sono i modi migliori per prevenire gli attacchi ransomware.