Une souche de ransomware non documentée, intitulée “NailaoLocker”, a été repérée dans une attaque contre plusieurs établissements de santé en Europe, entre juin et octobre 2024. Dans un rapport publié le 18 février, les chercheurs en cybersécurité d’Orange Cyberdefense ont détaillé le mode opératoire des attaquants au cours d’une campagne suivie comme “Green Nailao”.
Pour s’infiltrer dans ces établissements de santé, les cybercriminels ont exploité une faille de sécurité présente sur certaines passerelles développées par la société de cybersécurité Vérifier le logiciel. Cet accès initial leur a permis de récupérer des informations d’identification d’utilisateurs, avant de se connecter à un VPN de manière légitime.
Deux malwares amenant au déploiement d’un ransomware
Deux malwares amenant au déploiement d’un ransomware
Les hackers ont ensuite réalisé des actions de reconnaissance du réseau et des mouvements latéraux pour obtenir des privilèges plus importants. Ils ont déployé deux malwares, “ShadowPad” et “PlugX”, qualifiés par Orange Cyberdefense “d’implants souvent associés aux intrusions ciblées liés à la Échine« . ShadowPad est utilisé depuis au moins 2015 par des groupes de menaces chinois, dans le cadre de campagnes de cyberespionnage contre des gouvernementsdes universités, des sociétés énergétiques et de la tech ainsi que des think tank. La variante observée par Orange Cyberdefense présente des fonctions d’anti-débogage sophistiquées.
Un fichier DLL (bibliothèque contenant à la fois du code et des données pour l’exécution de plusieurs programmes) est ensuite téléchargé depuis un exécutable légitime (usysdiag.exe), permettant d’activer le ransomware “NailaoLocker”. Ce logiciel malveillant est en tant que tel peu sophistiqué, note Orange Cyberdefense, dans le sens où il ne met pas fin aux processus de sécurité et manque de fonctions d’anti-débogage. Une fois le rançongiciel activé, celui-ci chiffre les fichiers en ajoutant une extension “.locked”, avant d’envoyer une note de rançon au format HTML et de demander aux victimes de les contacter via une adresse mail Proton.
Des tactiques communes à une campagne d’espionnage
Des tactiques communes à une campagne d’espionnage
“Nous estimons avec une confiance moyenne que le cluster correspond aux ensembles d’intrusions chinois typiques”notent les chercheurs, qui n’ont pas attribué cette campagne à un acteur spécifique. Le rapport montre en revanche que les tactiques, techniques et procédures (TTP) utilisées, soit des chaînes d’exécution à trois fichiers, ont été repérées par Sécurisé comme attribuées au groupe chinois “Bronze Starlight”.
Orange Cyberdefense a observé un chevauchement de certaines TTP avec le cluster Alpha, mentionné dans la vaste campagne d’espionnage chinoise “Crimson Palace”. “Le déploiement d’une charge utile de ransomware après l’utilisation d’outils de cyberespionnage traditionnels est assez surprenant”écrivent les auteurs. Ces derniers ont émis plusieurs hypothèses sur les objectifs finaux de la campagne. Il pourrait alors s’agir d’une opération de “diversion sous fausse bannière”, afin de détourner l’attention d’une éventuelle extraction de données. Les chercheurs avancent néanmoins la thèse d’un groupe de cyberespionnage chinois souhaitant générer des revenus en parallèle.
La Chine mène des attaques sophistiquées contre les établissements de santé
La Chine mène des attaques sophistiquées contre les établissements de santé
Dans un rapport publié en novembre sur l’état de la menace informatique dans le secteur de la santé, l’Anssi mettait en garde contre la sophistication des attaques affiliées à un État. “Les acteurs composant le secteur de la santé sont ainsi davantage ciblés de façon opportuniste par des attaques informatiques à but lucratif pouvant s’appuyer sur le déploiement de rançongiciels, l’exfiltration et la revente de données personnelles ou de santé, ou l’emploi de diverses techniques de fraude.”
La société de cybersécurité Mandiant avait notamment révélé le ciblage par le groupe de hackers chinois APT41 de plusieurs entités pharmaceutiques début 2020. Les cybercriminels avaient alors exploité des vulnérabilités affectant des équipements Citrix.
Sélectionné pour vous
