Attaque éclair : le ransomware NailaoLocker vise les hôpitaux européens

Imaginez : vos données médicales, confidentielles et précieuses, entre les mains de cybercriminels. C’est la réalité pour certains hôpitaux européens, victimes d’une nouvelle menace nommée NailaoLocker. Ce ransomware, encore inconnu il y a peu, a semé la panique dans le secteur de la santé. Découvrons ensemble les détails de cette cyberattaque et comment se protéger.

Une attaque ciblée et sophistiquée

L'attaque, baptisée "Green Nailao" par Orange Cyberdefense CERT, ne s'est pas contentée d'une simple intrusion. Les pirates ont fait preuve d'une méthode extrêmement précise et organisée.

L'attaque a débuté entre juin et octobre 2024, ciblant principalement des établissements de santé en Europe. Les pirates ont exploité une faille critique, CVE-2024-24919, dans les appliances VPN de Check Point. Cette faille, pourtant corrigée en mai 2024, était restée active sur de nombreux systèmes.

« Due to the fact all observed Check Point instances were still vulnerable at the time of their compromise, CVE-2024-24919 likely enabled the threat actors to retrieve user credentials and to connect to the VPN using a legitimate account. », explique le rapport d'Orange Cyberdefense CERT.

Au-delà du chiffrement : une stratégie hybride

L'objectif des pirates ne se limitait pas au simple chiffrement des données. Après avoir pénétré le système via la faille Check Point, ils ont déployé des outils d'espionnage sophistiqués, tels que ShadowPad et PlugX.

Ces logiciels malveillants leur ont permis de se déplacer latéralement dans le réseau, accédant à des informations sensibles. On note par exemple le vol du fichier "ntds.dit", contenant les informations d'Active Directory et des identifiants utilisateurs.

« The attackers would abuse this vulnerability to side-load a vulnerable DLL file, and use it to deploy ShadowPad and PlugX malware. », précise le rapport. Cette combinaison d'outils rend l'attaque particulièrement dangereuse.

NailaoLocker : un ransomware… basique ?

Le ransomware NailaoLocker lui-même est relativement simple, selon les experts. Il présente des lacunes opérationnelles surprenantes pour une attaque aussi sophistiquée :

• Il ignore les partages réseau.
• Il ne termine pas les processus bloquant les fichiers.
• Il laisse des journaux de diagnostic facilement accessibles.

Ces détails inattendus pourraient suggérer une stratégie de diversion. Le chiffrement des données pourrait servir à masquer le vrai but de l'attaque : l'exfiltration de données.

« Written in C++, NailaoLocker is relatively unsophisticated and poorly designed, seemingly not intended to guarantee full encryption. », souligne l'analyse.

Origine chinoise ? Une hypothèse crédible

L'utilisation de ShadowPad, un logiciel malveillant principalement associé aux groupes d'espionnage chinois, laisse penser à une origine asiatique. Cependant, les chercheurs n'ont pas encore pu attribuer formellement l'attaque à un groupe spécifique.

L'ajout du ransomware à une campagne d'espionnage soulève plusieurs interrogations. Plusieurs scénarios sont envisageables :

• Camouflage : le ransomware sert à masquer l'exfiltration de données.
• Double objectif : l'attaque vise à la fois un gain financier et l'obtention d'informations.
• Acteur indépendant : un groupe de pirates utilise des outils d'État pour ses propres fins.

Comment se protéger contre NailaoLocker et les menaces similaires ?

Face à cette menace émergente, la vigilance est de mise. Voici quelques recommandations clés pour renforcer la sécurité de vos systèmes :

• Mettre à jour régulièrement vos logiciels : corrigez immédiatement toutes les failles de sécurité connues, comme CVE-2024-24919.
• Adopter une approche de sécurité multi-couches : ne vous fiez pas à une seule solution. Combinez des antivirus, des pare-feux et des systèmes de détection d'intrusion.
• Former vos employés : sensibilisez-les aux techniques d'ingénierie sociale et aux menaces de phishing.
• Sécuriser vos accès distants : utilisez des solutions VPN robustes et la multi-factorisation d'authentification.
• Mettre en place une stratégie de sauvegarde et de restauration : assurez-vous de pouvoir récupérer vos données en cas d'attaque.

L’attaque NailaoLocker est un exemple parfait de l’évolution constante des menaces cybernétiques. La complexité et la sophistication de ces attaques nécessitent une réponse proactive et une vigilance accrue de la part des organisations, surtout dans le secteur sensible de la santé.