Les chercheurs d’Orange Cyberdefense ont observé une campagne de ransomware rendue possible par l’exploitation d’une faille de sécurité Check Point. Entre juin et octobre, plusieurs établissements de santé en Europe ont été touchés par ce ransomware. Le gang qui en est à l’origine n’a pas été clairement identifié mais semble lié à l’État chinois.
Une souche de ransomware non documentée, intitulée “NailaoLocker”, a été repérée dans une attaque contre plusieurs établissements de santé en Europe, entre juin et octobre 2024. Dans un rapport publié le 18 février, les chercheurs en cybersécurité d’Orange Cyberdefense ont détaillé le mode opératoire des attaquants au cours d’une campagne suivie comme “Green Nailao”.
Pour s’infiltrer dans ces établissements de santé, les cybercriminels ont exploité une faille de sécurité présente sur certaines passerelles développées par la société de cybersécurité Check Point Software. Cet accès initial leur a permis de récupérer des informations d’identification d’utilisateurs, avant de se connecter à un VPN de manière légitime.
Deux malwares amenant au déploiement d’un ransomware
Les hackers ont ensuite réalisé des actions de reconnaissance du réseau et des mouvements latéraux pour obtenir des privilèges plus importants. Ils ont déployé deux malwares, “ShadowPad” et “PlugX”, qualifiés par Orange Cyberdefense “d’implants souvent associés aux intrusions ciblées liés à la Chine”. ShadowPad est utilisé depuis au moins 2015 par des groupes de menaces chinois, dans le cadre de campagnes de cyberespionnage contre des gouvernements, des universités, des sociétés énergétiques et de la tech ainsi que des think tank. La variante observée par Orange Cyberdefense présente des fonctions d’anti-débogage sophistiquées.
