Il s’appelle NailaoLocker, il est “mal conçu” car “relativement peu sophistiqué”. Enfin, il s’agit sans doute d’une tentative d’extorsion criminelle d’une personne ayant accès à de puissants outils de cyberespionnage chinois. Voici le résumé d’un rapport instructif du centre de réponse à incidents d’Orange cyberdéfense sur un nouveau malware.
Ce document, publié il y a quelques jours, détaille en effet l’émergence d’un rançongiciel baptisé NailaoLocker, en référence au fromage ou au lait fermenté en chinois, selon les traductions. Ce dernier a ciblé entre juin et octobre 2024 des organisations européennes, dont une partie évoluant dans le secteur de la santé.
Faille du VPN de Check Point
Un rançongiciel poussif, déployé à au moins deux reprises chez des victimes, qui était passé jusqu’ici sous les radars. A chaque fois, le pirate a réussi à s’introduire chez sa cible grâce à une compromission d’un VPN Check Point, visiblement en profitant de la faille CVE-2024-24919. Cette vulnérabilité découverte au printemps dernier permet à un acteur malveillant de faire main basse sur des identifiants d’utilisateurs. Ce qui l’autorise ensuite à se connecter au VPN via un compte légitime.
Une fois dans la place, le groupe d’attaquants s’appuyait sur deux malwares, PlugX et ShadowPad, une dernière porte dérobée qu’on soupçonne d’être échangée en Chine depuis au moins 2015. Il s’agissait vraisemblablement, estime Orange cyberdéfense, de faire ensuite de l’exfiltration de données. Notamment en faisant main basse sur des données sensibles de l’Active directory, cet annuaire qui permet la gestion centralisée de comptes, ressources et de permissions.
Scénario similaire repéré par Symantec
Pour Orange cyberdéfense, l’enchaînement est quelque peu surprenant: arriver à s’infiltrer, voler des secrets avant enfin de déployer un rançongiciel bas de gamme. L’entreprise formule plusieurs hypothèses: soit le lancement du ransomware sert à faire diversion, soit il doit tout simplement permettre d’obtenir des fonds.
Reste une troisième piste, celle jugée la plus crédible: le déploiement du ransomware est peut-être l’oeuvre d’un acteur malveillant appartenant à un groupe de cyberespionnage chinois mais jouant sa propre partition. Ou quelqu’un ayant accès à la boîte à outils d’intrusion.
Comme le relève la filiale de l’opérateur télécom, l’entreprise Symantec s’est également récemment interrogée sur une histoire similaire, avec cette fois-ci le rançongiciel RA World. Cette dernière relevait le déploiement de ce programme malveillant après la mise en branle d’outils jusqu’ici utilisés dans l’espionnage. “Le scénario le plus probable est qu’un acteur tentait de gagner de l’argent en utilisant les outils de son employeur”, concluait Symantec.