Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Ransomware Ransomware NailaoLocker

Ransomware NailaoLocker

Por Mezo en Ransomware
Traducir a:
Español

El escenario en constante evolución de las amenazas cibernéticas hace que sea esencial que las personas y las instituciones tomen medidas proactivas para proteger sus activos digitales. Entre los muchos tipos de software dañino que circulan en línea, el ransomware sigue siendo uno de los más disruptivos. El ransomware NailaoLocker, una incorporación relativamente nueva a la creciente lista de amenazas basadas en cifrado, ha sido observado atacando a organizaciones, particularmente en Europa. Comprender cómo opera y cómo defenderse de él es fundamental para minimizar los posibles daños.

Cómo funciona el ransomware NailaoLocker

El ransomware NailaoLocker está escrito en el lenguaje de programación C++ y está diseñado para cifrar archivos en dispositivos infectados. Una vez activo, bloquea sistemáticamente los archivos y añade la extensión ".locked" a sus nombres. Por ejemplo, un documento llamado "report.doc" se renombraría como "report.doc.locked", lo que lo haría inaccesible para la víctima. Después de completar el proceso de cifrado, el ransomware deja una nota de rescate que contiene instrucciones sobre cómo recuperar el acceso a los archivos afectados.

Se informa a las víctimas de que sus datos solo se recuperarán si pagan un rescate en bitcoins. La nota advierte que, si no se cumplen las exigencias de los atacantes en el plazo de una semana, los archivos se eliminarán de forma permanente. Además, advierte de que no se deben intentar descifrar o modificar manualmente los archivos bloqueados, ya que dichas acciones podrían provocar una mayor pérdida de datos.

Enlaces a actividades cibercriminales anteriores

NailaoLocker ha sido observado en ataques que guardan similitudes con los orquestados por conocidos actores de amenazas chinos. Aunque no se ha hecho ninguna atribución directa, los investigadores especulan que este ransomware podría ser operado por un grupo con vínculos con China. Curiosamente, mientras que la mayoría de las campañas de ransomware modernas emplean tácticas de doble extorsión (robar datos confidenciales antes de cifrarlos), NailaoLocker no menciona explícitamente la exfiltración de información en su mensaje de rescate. Sin embargo, la evidencia sugiere que intenta recopilar datos del sistema, posiblemente con fines de recopilación de inteligencia.

Las limitaciones técnicas de NailaoLocker

A pesar de ser una amenaza disruptiva, NailaoLocker carece de algunas de las funciones sofisticadas que se encuentran en las cepas de ransomware más avanzadas. No emplea técnicas antidepuración ni intenta deshabilitar procesos esenciales del sistema antes de iniciar el cifrado. Esta limitación genera inquietudes de que el ransomware podría dejar inoperativo un sistema infectado sin darse cuenta al cifrar archivos críticos necesarios para su funcionamiento.

Cómo NailaoLocker infecta los sistemas

NailaoLocker ha sido vinculado a ataques que explotan vulnerabilidades en el software Check Point VPN, específicamente la falla identificada como 'CVE-2024-24919'. Los investigadores descubrieron que el ransomware se implementó en sistemas comprometidos a través de otras herramientas maliciosas, como el malware ShadowPad y el troyano de acceso remoto (RAT) PlugX. Estas amenazas proporcionaron a los atacantes acceso remoto a las máquinas objetivo, lo que les permitió ejecutar NailaoLocker y comenzar el proceso de cifrado.

Sin embargo, el ransomware suele propagarse mediante múltiples tácticas de distribución. Los vectores de infección más comunes incluyen:

  • Archivos adjuntos y enlaces fraudulentos en mensajes de phishing
  • Descargas automáticas desde sitios web comprometidos o engañosos
  • Explotación de vulnerabilidades en software e infraestructura de red obsoletos
  • Actualizaciones de software falsas y programas pirateados
  • Aplicaciones troyanizadas que parecen legítimas pero contienen amenazas ocultas
  • Acceso remoto no autorizado habilitado a través de contraseñas débiles o fugas de credenciales

Por qué es arriesgado pagar el rescate

Para las víctimas de ataques de ransomware, recuperar archivos cifrados suele ser imposible sin la clave de descifrado que poseen los atacantes. Lamentablemente, pagar el rescate exigido no garantiza que se les proporcione la herramienta de descifrado prometida. Los ciberdelincuentes no tienen obligación de cumplir su parte del trato y algunas víctimas han tenido que pagar grandes sumas de dinero para recibir un software de descifrado incompleto o que no funciona. Además, los pagos de rescates alientan la continuación de esta actividad ilegal, lo que financia más delitos cibernéticos.

Mejores prácticas de seguridad para defenderse del ransomware

Para prevenir las infecciones de ransomware se necesita una estrategia de seguridad de varias capas que incluya tanto defensas técnicas como concienciación del usuario. Si se implementan las siguientes prácticas recomendadas, el riesgo de ser víctima de amenazas como NailaoLocker se reducirá significativamente:

  • Copias de seguridad de datos periódicas : mantenga varias copias de los archivos esenciales en diferentes ubicaciones, incluidas copias de seguridad sin conexión almacenadas en unidades externas y almacenamiento en la nube con capacidades de control de versiones. Esto garantiza que, incluso si los archivos están cifrados, se puedan recuperar sin pagar un rescate.
  • Mantenga actualizados los sistemas y el software : los cibercriminales suelen aprovecharse de software obsoleto para acceder a los sistemas. Asegúrese de que todas las aplicaciones, sistemas operativos y software de seguridad se actualicen periódicamente con los parches más recientes.
  • Utilice métodos de autenticación sólidos : aplique la autenticación multifactor (MFA) a todas las cuentas y servicios confidenciales. Se deben utilizar contraseñas seguras y únicas, y las credenciales predeterminadas se deben cambiar de forma permanente.
  • Implemente controles de seguridad de red : utilice firewalls, sistemas de detección de intrusiones (IDS) y soluciones de protección de puntos finales para supervisar la actividad de la red y bloquear el acceso no autorizado. Restrinja las herramientas de acceso remoto y las conexiones VPN solo a quienes las necesiten.
  • Tenga cuidado con los intentos de phishing : enseñe a los empleados y usuarios a discernir los correos electrónicos de phishing y las tácticas de ingeniería social. Evite acceder a enlaces desconocidos o descargar archivos adjuntos de fuentes no verificadas.
  • Limitar los privilegios de los usuarios : aplicar el principio de privilegio mínimo (PoLP) restringiendo el acceso administrativo únicamente a quienes lo necesiten. Los usuarios no deberían tener la posibilidad de instalar software a menos que sea necesario.
  • Desactivar macros y otras funciones riesgosas : muchas cepas de ransomware se distribuyen a través de macros maliciosas incrustadas en documentos de Office. Desactivar las macros de forma predeterminada y habilitarlas solo para archivos de confianza.
  • Utilice listas blancas de aplicaciones : implemente políticas de seguridad que impidan la ejecución de programas no autorizados. Solo permita que el software aprobado se ejecute en los dispositivos de la empresa.

    • El ransomware NailaoLocker pone de relieve la continua evolución de las amenazas cibernéticas. Ataca a las organizaciones aprovechando las vulnerabilidades del software y las configuraciones de seguridad débiles. Si bien este ransomware en particular puede no ser la cepa más avanzada, no se debe subestimar su capacidad para cifrar archivos e interrumpir las operaciones. Implementar defensas de ciberseguridad sólidas, mantener copias de seguridad adecuadas de los datos y mantenerse informado sobre las amenazas emergentes son las mejores formas de prevenir los ataques de ransomware.

    Mensajes

    Se encontraron los siguientes mensajes asociados con Ransomware NailaoLocker:

    [1.Your important files are encrypted. If you want to decrypt your files, please follow the instructions.]

    [2.Do you need file decryption service (restore your files to their original state)? If not, your files will be automatically deleted after one week.]

    [3.If you need to purchase unlocking service, please contact us and we will tell you the amount (pay with BTC)]

    [4.After you complete the payment using BTC, we will deliver the unlocking program within 24 hours. Once the program is run on the locked computer, all files will be unlocked.]

    [5.BTC purchase website:hxxps://www.coinbase.com, hxxps://www.bitfinex.com, hxxps://www.binance.com]

    [Contact us on johncollinsy@proton.me]

    [Notice:Do not delete or move locked files without unlocking them first.]

    [Notice:The encryption algorithm uses symmetric encryption, and the password is a string of characters with the same length as the Bitcoin private key. If you can crack Bitcoin, then congratulations, you can decrypt it yourself. Otherwise, please contact us to purchase our decryption tool. Don't have illusions!!!]

    Tendencias

    Estafa por correo electrónico de órdenes de compra y...

    Suplantación de identidad (phishing), Correo basura
    Los cibercriminales perfeccionan continuamente sus tácticas, explotando la confianza y la urgencia para engañar a víctimas desprevenidas. Una de esas estrategias engañosas es la estafa por correo electrónico "Orden de compra y cotización del mejor precio". Este mensaje fraudulento se hace pasar por una consulta comercial y engaña a los destinatarios para que revelen información confidencial a...

    Mas Visto

    Cargando...