En los últimos meses, se ha detectado una nueva amenaza en el mundo del ransomware: NailaoLocker. Este malware, nunca antes documentado, ha sido utilizado en ataques dirigidos a organizaciones sanitarias europeas entre junio y octubre de 2024. Pero lo más preocupante no es solo el ransomware en sí, sino la forma en que los atacantes lograron infiltrarse en estas redes.
Los ciberdelincuentes explotaron CVE-2024-24919, una vulnerabilidad en Check Point Security Gateway, para acceder a sistemas específicos y desplegar ShadowPad y PlugX, dos tipos de malware vinculados a grupos de amenazas patrocinados por el estado chino. Estas tácticas apuntan a actividades de ciberespionaje, aunque aún no hay pruebas concluyentes que señalen a un grupo en particular.
Más allá del espionaje, este tipo de ataques pueden causar estragos en el sector salud, afectando la atención médica, comprometiendo datos sensibles y poniendo en riesgo la seguridad de los pacientes.
¿Qué hace NailaoLocker y por qué es diferente?
A diferencia de otros ransomwares más avanzados, NailaoLocker no es precisamente el más sofisticado. No finaliza procesos de seguridad, no desactiva servicios en ejecución y tampoco cuenta con técnicas avanzadas para evitar ser analizado o detectado en entornos de prueba. En pocas palabras, su diseño es bastante básico y no parece estar pensado para garantizar un cifrado completo de los archivos infectados.
Este malware está escrito en C++ y se propaga a través de un método conocido como carga lateral de DLL, utilizando un archivo legítimo y firmado (usysdiag.exe) para ejecutar código malicioso sin levantar sospechas. Para ello, inyecta una DLL maliciosa (sensapi.dll) en el sistema, lo que le permite ejecutarse con permisos elevados.
Antes de activar el cifrado, NailaoLoader, su componente de carga, revisa el entorno del sistema analizando direcciones de memoria y, una vez que todo está en orden, descifra la carga principal (usysdiag.exe.dat) y la ejecuta directamente en la memoria.
Aunque no sea el ransomware más avanzado que hemos visto, eso no significa que sea inofensivo. Su objetivo sigue siendo el mismo: bloquear archivos y exigir un rescate, afectando la operatividad de hospitales y centros médicos que dependen de sistemas digitales para brindar atención a los pacientes.
Descripción general de la cadena de ataque (Fuente: Orange CERT)
Cuando NailaoLocker entra en acción, empieza a cifrar archivos con AES-256-CTR y les añade la extensión “.locked”, dejando todo inaccesible para la víctima.
Pero eso no es todo. Una vez que termina el cifrado, deja una nota de rescate en formato HTML con un nombre de archivo largo:
"unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please.html"
Sí, leíste bien. Parece que los atacantes querían asegurarse de que la víctima no pudiera ignorar su “mensaje”. Ahora, con los archivos bloqueados y la nota en la pantalla, el siguiente paso es el clásico chantaje: pagar el rescate o perder el acceso a los datos.
Nota de rescate de NailaoLocker
Curiosamente, en la nota de rescate no se menciona el robo de datos, algo raro en los ataques de ransomware actuales. Hoy en día, muchos ciberdelincuentes no solo cifran los archivos, sino que también amenazan con filtrar información si la víctima no paga. Pero en este caso, parece que los atacantes solo quieren el dinero sin añadir presión extra… lo cual, siendo honestos, es poco común.
Conoce más sobre: Detección de Ataques de Ransomware con Wazuh
Espionaje y Ransomware: Una combinación peligrosa
Al analizar más a fondo este ataque, se notó algo curioso: el contenido de la nota de rescate tiene similitudes con una herramienta de ransomware vendida por un grupo de ciberdelincuentes llamado Kodex Softwares (antes conocido como Evil Extractor). Sin embargo, no hay coincidencias directas en el código, lo que hace que la conexión sea un poco difusa.
Hay varias teorías sobre lo que podría estar pasando. Podría tratarse de una operación de falsa bandera, diseñada para desviar la atención del verdadero objetivo. También es posible que estemos viendo un doble juego, donde un grupo de hackers roba datos estratégicos mientras genera ingresos con ransomware. Pero la hipótesis más fuerte sugiere que un grupo chino de ciberespionaje está actuando por cuenta propia, buscando ganar dinero sin órdenes directas de su gobierno.
La semana pasada, se reportó que un grupo conocido como Emperor Dragonfly (también llamado Bronze Starlight) estaba lanzando ataques de ransomware contra empresas de software en Asia, exigiendo rescates de hasta 2 millones de dólares.
Este giro en las tácticas es preocupante. A diferencia de los hackers norcoreanos, que combinan ciberespionaje con ataques de ransomware para obtener ganancias económicas, los grupos respaldados por el gobierno chino no solían seguir este camino. Si esto es un cambio de estrategia, podría significar que más ataques similares están en camino.
Conclusión
El ataque de NailaoLocker es una prueba más de que el ransomware sigue evolucionando y que ninguna industria está a salvo, especialmente sectores críticos como el de la salud. Más allá del impacto financiero, estos ataques pueden poner en riesgo la seguridad de los pacientes y la operatividad de hospitales y centros médicos, lo que los convierte en una amenaza mucho más grave que un simple secuestro de archivos.
La mejor estrategia para enfrentar este tipo de amenazas es la prevención. Contar con una solución de ciberseguridad especializada en la protección contra ransomware es fundamental para detectar y bloquear ataques antes de que puedan causar daño. Además, las copias de seguridad regulares siguen siendo una de las medidas más efectivas: si los archivos están protegidos en un entorno seguro, las víctimas pueden restaurar su información sin tener que ceder ante los ciberdelincuentes.
Soluciones como TecnetProtect ofrecen una protección completa contra el ransomware, combinando detección avanzada de amenazas, respuesta automatizada y copias de seguridad seguras. Gracias a su capacidad para identificar ataques en tiempo real, bloquear procesos maliciosos y restaurar archivos sin riesgo, TecnetProtect ayuda a mantener la continuidad operativa incluso en entornos altamente sensibles como el sector salud.
