Green Nailao : Une menace alliant cyber-espionnage et ransomware
La cybersécurité est confrontée à une nouvelle menace hybride : la campagne Green Nailao, découverte par les équipes du CERT d’Orange Cyberdefense. Cette attaque cible principalement le secteur de la santé en Europe occidentale, combinant des techniques de cyber-espionnage à un déploiement de ransomware.
Une exploitation de vulnérabilité critique
L’attaque initiale repose sur l’exploitation de la vulnérabilité CVE-2024-24919, qui affecte les équipements Check Point Security Gateway. Cette faille permet aux attaquants de récupérer des identifiants et de s’infiltrer via un accès VPN compromis. Une fois à l’intérieur du réseau, ils procèdent à une reconnaissance et utilisent des techniques avancées pour se déplacer latéralement.
Un malware sophistiqué : ShadowPad
Les attaquants déploient une version modifiée de ShadowPad, un malware connu pour être associé à des groupes APT chinois. Grâce à des techniques d’obfuscation et d’injection dans des processus légitimes, ils assurent leur persistance sur les systèmes infectés. L'objectif initial semble être la collecte d’informations sensibles.
Passage au ransomware : NailaoLocker
Après l’exfiltration de données, les attaquants activent un ransomware nommé NailaoLocker, qui chiffre les fichiers des victimes et exige une rançon en Bitcoin. Ce mode opératoire mixte, associant cyber-espionnage et ransomware, est inhabituel et pourrait servir de diversion ou viser une double extorsion.
Une menace préoccupante
Green Nailao met en lumière l’évolution des menaces cyber : les attaquants ne se limitent plus à l’espionnage mais exploitent aussi des méthodes criminelles lucratives. Cette campagne souligne l’importance d’une gestion rigoureuse des vulnérabilités, de la surveillance des accès VPN et du renforcement des mesures de protection contre les intrusions.
Conclusion La sophistication de Green Nailao démontre que les cyberattaques deviennent de plus en plus complexes et hybrides. Pour se protéger, les organisations doivent renforcer leur cybersécurité, mettre à jour leurs systèmes et sensibiliser leurs employés aux bonnes pratiques de sécurité informatique.
source : orange cyberdéfense