Devis de remise multi-licences
Données concernant les menaces Ransomware Ransomware NailaoLocker

Ransomware NailaoLocker

Par Mezo en Ransomware
Se traduisent par :
Français

L’évolution constante des cybermenaces rend indispensable pour les particuliers et les institutions de prendre des mesures proactives pour protéger leurs actifs numériques. Parmi les nombreux types de logiciels malveillants qui circulent en ligne, les ransomwares restent l’un des plus perturbateurs. Le ransomware NailaoLocker, un ajout relativement récent à la liste croissante des menaces basées sur le chiffrement, a été observé ciblant des organisations, notamment en Europe. Il est essentiel de comprendre son fonctionnement et de savoir comment s’en défendre pour minimiser les dommages potentiels.

Comment fonctionne le ransomware NailaoLocker

Le ransomware NailaoLocker est écrit en langage de programmation C++ et est conçu pour crypter les fichiers sur les appareils infectés. Une fois actif, il verrouille systématiquement les fichiers et ajoute une extension « .locked » à leur nom. Par exemple, un document nommé « report.doc » serait renommé « report.doc.locked », le rendant inaccessible à la victime. Une fois le processus de cryptage terminé, le ransomware laisse une note de rançon contenant des instructions sur la façon de récupérer l'accès aux fichiers affectés.

Les victimes sont informées que leurs données ne seront restaurées que si elles paient une rançon en Bitcoin. La note prévient que le non-respect des exigences des attaquants dans un délai d'une semaine entraînera la suppression définitive des fichiers. En outre, elle met en garde contre toute tentative de décryptage ou de modification manuelle des fichiers verrouillés, car de telles actions pourraient entraîner une perte de données supplémentaire.

Liens vers des activités cybercriminelles antérieures

NailaoLocker a été observé dans des attaques qui présentent des similitudes avec celles orchestrées par des acteurs chinois connus. Bien qu’aucune attribution directe n’ait été établie, les chercheurs spéculent que ce ransomware pourrait être exploité par un groupe ayant des liens avec la Chine. Il est intéressant de noter que, bien que la plupart des campagnes de ransomware modernes utilisent des tactiques de double extorsion (vol de données sensibles avant de les chiffrer), NailaoLocker ne mentionne pas explicitement l’exfiltration d’informations dans son message de rançon. Cependant, des éléments suggèrent qu’il tente de collecter des données système, peut-être à des fins de collecte de renseignements.

Les limites techniques de NailaoLocker

Bien qu'il s'agisse d'une menace perturbatrice, NailaoLocker ne dispose pas de certaines des fonctionnalités sophistiquées que l'on retrouve dans les souches de ransomware plus avancées. Il n'utilise pas de techniques anti-débogage et ne tente pas de désactiver les processus système essentiels avant de lancer le chiffrement. Cette limitation fait craindre que le ransomware puisse par inadvertance rendre un système infecté inutilisable en chiffrant les fichiers critiques nécessaires à son fonctionnement.

Comment NailaoLocker infecte les systèmes

NailaoLocker a été associé à des attaques exploitant des vulnérabilités du logiciel Check Point VPN, en particulier la faille identifiée comme « CVE-2024-24919 ». Les chercheurs ont découvert que le ransomware était déployé sur des systèmes compromis via d'autres outils malveillants, tels que le malware ShadowPad et le cheval de Troie d'accès à distance PlugX (RAT). Ces menaces fournissaient aux attaquants un accès à distance aux machines ciblées, leur permettant d'exécuter NailaoLocker et de lancer le processus de chiffrement.

Cependant, les ransomwares se propagent souvent à l'aide de plusieurs tactiques de distribution. Les vecteurs d'infection les plus courants sont les suivants :

  • Pièces jointes et liens frauduleux dans les messages de phishing
  • Téléchargements intempestifs à partir de sites Web compromis ou trompeurs
  • Exploiter les vulnérabilités des logiciels et des infrastructures réseau obsolètes
  • Fausses mises à jour de logiciels et programmes piratés
  • Applications trojanisées qui semblent légitimes mais contiennent des menaces cachées
  • Accès à distance non autorisé rendu possible par des mots de passe faibles ou des fuites d'informations d'identification

Pourquoi payer la rançon est risqué

Pour les victimes d’attaques par ransomware, la récupération des fichiers chiffrés est souvent impossible sans la clé de déchiffrement détenue par les attaquants. Malheureusement, le paiement de la rançon demandée ne garantit pas la fourniture de l’outil de déchiffrement promis. Les cybercriminels n’ont aucune obligation de remplir leur part du marché, et certaines victimes se sont retrouvées à payer des sommes importantes pour recevoir un logiciel de déchiffrement non fonctionnel ou incomplet. De plus, le paiement des rançons encourage la poursuite de cette activité illégale, finançant ainsi d’autres cybercrimes.

Meilleures pratiques de sécurité pour se défendre contre les ransomwares

La prévention des infections par ransomware nécessite une stratégie de sécurité multicouche qui comprend à la fois des défenses techniques et la sensibilisation des utilisateurs. En mettant en œuvre les meilleures pratiques suivantes, le risque d'être victime de menaces telles que NailaoLocker sera considérablement réduit :

  • Sauvegardes régulières des données : conservez plusieurs copies des fichiers essentiels à différents emplacements, y compris des sauvegardes hors ligne stockées sur des disques externes et un stockage cloud avec des fonctionnalités de contrôle de version. Cela garantit que même si les fichiers sont chiffrés, ils peuvent être récupérés sans payer de rançon.
  • Maintenez les logiciels et les systèmes à jour : les cybercriminels exploitent fréquemment des logiciels obsolètes pour accéder aux systèmes. Assurez-vous que toutes les applications, systèmes d'exploitation et logiciels de sécurité sont régulièrement mis à jour avec les derniers correctifs.
  • Utiliser des méthodes d'authentification fortes : appliquez l'authentification multifacteur (MFA) pour tous les comptes et services sensibles. Des mots de passe forts et uniques doivent être utilisés et les informations d'identification par défaut doivent être modifiées de manière permanente.
  • Mettre en œuvre des contrôles de sécurité réseau : utilisez des pare-feu, des systèmes de détection d'intrusion (IDS) et des solutions de protection des terminaux pour surveiller l'activité réseau et bloquer les accès non autorisés. Limitez les outils d'accès à distance et les connexions VPN à ceux qui en ont besoin uniquement.
  • Méfiez-vous des tentatives de phishing : apprenez aux employés et aux utilisateurs à reconnaître les e-mails de phishing et les tactiques d'ingénierie sociale. Évitez d'accéder à des liens inconnus ou de télécharger des pièces jointes provenant de sources non vérifiées.
  • Limiter les privilèges des utilisateurs : appliquer le principe du moindre privilège (PoLP) en limitant l'accès administratif à ceux qui en ont besoin. Les utilisateurs ne doivent pas avoir la possibilité d'installer de logiciels, sauf si cela est nécessaire.
  • Désactiver les macros et autres fonctionnalités à risque : de nombreuses souches de ransomware sont transmises via des macros malveillantes intégrées dans des documents Office. Désactivez les macros par défaut et activez-les uniquement pour les fichiers approuvés.
  • Utiliser la liste blanche des applications : mettez en œuvre des politiques de sécurité qui empêchent l'exécution de programmes non autorisés. Autorisez uniquement l'exécution de logiciels approuvés sur les appareils de l'entreprise.

    • Le ransomware NailaoLocker met en évidence l’évolution constante des cybermenaces. Il cible les organisations en exploitant les vulnérabilités logicielles et les configurations de sécurité faibles. Bien que ce ransomware particulier ne soit peut-être pas la souche la plus avancée, sa capacité à crypter les fichiers et à perturber les opérations ne doit pas être sous-estimée. La mise en œuvre de solides défenses de cybersécurité, le maintien de sauvegardes de données appropriées et la tenue informée des menaces émergentes sont les meilleurs moyens de prévenir les attaques de ransomware.

    messages

    Les messages suivants associés à Ransomware NailaoLocker ont été trouvés:

    [1.Your important files are encrypted. If you want to decrypt your files, please follow the instructions.]

    [2.Do you need file decryption service (restore your files to their original state)? If not, your files will be automatically deleted after one week.]

    [3.If you need to purchase unlocking service, please contact us and we will tell you the amount (pay with BTC)]

    [4.After you complete the payment using BTC, we will deliver the unlocking program within 24 hours. Once the program is run on the locked computer, all files will be unlocked.]

    [5.BTC purchase website:hxxps://www.coinbase.com, hxxps://www.bitfinex.com, hxxps://www.binance.com]

    [Contact us on johncollinsy@proton.me]

    [Notice:Do not delete or move locked files without unlocking them first.]

    [Notice:The encryption algorithm uses symmetric encryption, and the password is a string of characters with the same length as the Bitcoin private key. If you can crack Bitcoin, then congratulations, you can decrypt it yourself. Otherwise, please contact us to purchase our decryption tool. Don't have illusions!!!]

    Tendance

    Arnaque par e-mail concernant un bon de commande et...

    Hameçonnage, Courrier indésirable
    Les cybercriminels peaufinent sans cesse leurs tactiques, exploitant la confiance et l'urgence pour tromper leurs victimes sans méfiance. L'un de ces stratagèmes trompeurs est l'arnaque par e-mail « Bon de commande et devis du meilleur prix ». Ce message frauduleux se fait passer pour une demande d'informations commerciales et incite les destinataires à révéler des informations sensibles via un...

    Le plus regardé

    Chargement...