Los investigadores de ciberseguridad han identificado una gran operación de piratería dirigida a las instituciones médicas europeas.
Entre Junio y octubre de 2024varias instituciones de salud en Europa han sido el objetivo de una campaña de ataques sofisticados. De acuerdo a Naranja cyberDefensaun grupo de hackers, bautizados “Green Nailao”habrían explotado fallas de seguridad para infiltrarse en esta infraestructura crítica. Su arsenal y nbsp? Dos software malicioso bien conocido para el ciberespionaje chino, Shadowpad y plugxasí como una nueva cepa de ransomware, Nailaolocker.
Herramientas cibernéticas bien establecidas
Shadowpad y Plugx no son extraños en el paisaje cibernético. Shadowapareció en 2015, ya ha participado en ataques contra gobiernos, compañías tecnológicas y el sector energético. Su última versión, detectada en esta campaña, se ha cambiado a fortalecer su sigilo y evitar análisis de ciberseguridad.
Por su parte Plugxactivo desde 2008primero entidades dirigidas en Japón antes de extenderse por Asia. Su presencia en este ataque europeo marca una evolución notable de su campo de acción.
El modus operandi de los hackers se basa en la explotación de Vulnerabilidades presentes en el software de seguridad desarrollado por una empresa israelí. Una vez infiltrados, implementan estos malware para tomar el control de los sistemas y acceder a bases de datos confidenciales.
Nailaolocker & nbsp: un ransomware inesperado y torpe
El sorprendente elemento de esta campaña sigue siendo la introducción de un Ransomware no publicadobautizado Nailaolocker. A diferencia de los ataques generalmente atribuidos a los grupos de ciberespioning chino, donde la prioridad es a menudo la discreta recopilación de información, este malware tiene un objetivo más directo y NBSP: extorsionar el dinero.
Su modo de operación es relativamente simple y nbsp: Cumplía que las víctimas archivan y requieren un pago de bitcoin a través de una dirección protonmail. A pesar de su efectividad, los expertos señalan inconsistencias técnicas En su diseño, sugerir un desarrollo precipitado o la intervención de piratas menos experimentados.
¿Por qué tal ransomware en un ataque tan sofisticado y NBSP? Algunos analistas avanzan la hipótesis de un doble uso& nbsp: espionaje y financiamiento. Los grupos de piratas informáticos afiliados a los estados están utilizando cada vez más rescates para Diversificar sus ingresos Y ocultar ciertas operaciones.
Una intrusión meticulosa y una ejecución bien engrasada
El modo de funcionamiento de los piratas sigue una secuencia formidablemente efectiva. Comienzan con Utilice contraseñas bajas y siéndale a las autenticaciones multifactorias Para ingresar a los sistemas de destino. Una vez en su lugar, llevan a cabo un Mapeo de redantes Muévase lateralmente a través del protocolo de escritorio remoto (RDP) Para escalar sus privilegios.
El paso final se basa en una técnica bien conocida y nbsp: el Dll lateral. A través de un ejecutable firmado por Beijing Huorong Network Technology Co., Ltdinstalan un cargador bautizado Nailaoloaderque desencadena la ejecución de Nailaolocker. Para garantizar su implementación, usan Instrumentación de administración de Windows (WMI)una herramienta legítima desviada con fines maliciosos.
El sector de la salud, un objetivo de elección
Este tipo de ataque al sector médico no es anecdótico. Los hospitales y los laboratorios procesan datos altamente sensibles, que Objetivos ideales para ciberdelincuentes. Robo de información médica o la parálisis de los sistemas puede causar consecuencias gravesmucho más allá de las pérdidas financieras.
Las campañas anteriores de espionaje cibernético asignados a China, especialmente las del grupo Apt41ya había mostrado un marcado interés en el sector farmacéutico. En 2020ataques similares habían dirigido a empresas que trabajaban en las vacunas CoVVI-19.
Los expertos en ciberseguridad temen que estos ofensivos se intensifiquen. Si la adición de ransomware parece ser una novedad táctica, el uso creciente de Técnicas avanzadas para evitar las protecciones Vamos a vislumbrar más y más ataques difíciles de contrarrestar. Una tendencia que, según ellos, todavía debería acelerar en los próximos meses.
About the Author
