Se ha identificado recientemente una nueva variante de ransomware denominada NailaoLocker, que afecta a sistemas Microsoft Windows. A simple vista, podría parecer otro malware más con capacidad de cifrado, pero al analizar su arquitectura interna surgen dudas fundamentales: ¿estamos ante una amenaza en desarrollo con errores de implementación o frente a una trampa diseñada para engañar tanto a víctimas como a analistas?
Su nombre, “Nailao”, que en chino significa “queso”, podría no ser casual. Este ransomware integra una función de descifrado interna y un par de claves criptográficas SM2 codificadas directamente en su binario, algo extremadamente inusual en entornos maliciosos.
Análisis técnico: del sigilo a la agresión
Carga del ransomware
NailaoLocker utiliza una técnica de DLL side-loading para evadir controles de seguridad tradicionales. Se compone de tres elementos:
- usysdiag.exe: un ejecutable legítimo que actúa como punto de entrada.
- sensapi.dll: una DLL maliciosa que desencripta el payload.
- usysdiag.exe.dat: el binario del ransomware.
La DLL desencripta el payload en memoria, ejecuta el ransomware y elimina cualquier evidencia residual, reduciendo así la huella forense.
Inicialización
Una cadena codificada internamente define si el ransomware se ejecutará en modo de cifrado o modo de descifrado, sin necesidad de argumentos de línea de comandos. El malware lanza una consola visible y genera un archivo de registro en %ProgramData%lock.log, lo que sugiere que no busca operar en segundo plano de forma silenciosa.
Ejecución multihilo
NailaoLocker emplea puertos de finalización de E/S (IOCP) para maximizar su rendimiento. Crea un mínimo de ocho hilos que actúan de forma paralela, cifrando múltiples archivos simultáneamente y utilizando los recursos del sistema de manera eficiente.
Criptografía SM2: una elección estratégica
Una de las características más llamativas es la inclusión de un par de claves criptográficas SM2, codificadas en formato ASN.1 DER. SM2 es un estándar chino basado en criptografía de curvas elípticas, rara vez observado en el contexto del ransomware.
NailaoLocker:
- Genera una clave AES-256 y un IV únicos por archivo.
- Protege esas claves usando el algoritmo SM2, en lugar de RSA, como es habitual.
- Almacena los datos cifrados y el material criptográfico en el pie del archivo.
Sin embargo, durante pruebas de laboratorio, la clave privada SM2 embebida no logró descifrar adecuadamente los archivos. Esto sugiere que la funcionalidad podría estar incompleta o intencionadamente inutilizada.
Fase de cifrado
El ransomware recorre los discos del sistema y excluye archivos y carpetas esenciales del sistema operativo para evitar provocar fallos críticos. Una vez identificados los archivos objetivo, procede de la siguiente manera:
- Genera una clave AES-256 y un IV mediante funciones criptográficas seguras del sistema operativo.
- Cifra el archivo utilizando el algoritmo AES-256-CBC con OpenSSL.
- Protege las claves mediante SM2 y las agrega como un pie al archivo cifrado.
- Cambia la extensión del archivo a .locked y oculta su visibilidad.
- Entrega una nota de rescate en cada carpeta afectada.
Modo de descifrado: ¿una función real o un señuelo?
Si se modifica manualmente el valor interno que controla el modo, NailaoLocker entra en modo de descifrado. En este estado:
- Busca archivos con la extensión .locked.
- Extrae las claves protegidas del pie del archivo.
- Intenta recuperar la clave AES original utilizando la clave privada SM2 incorporada.
Durante los análisis, se comprobó que, aunque la lógica de descifrado está correctamente implementada, la clave privada integrada no permite completar el proceso de forma exitosa. No obstante, cuando se utilizan las claves AES e IV capturadas durante el cifrado, la recuperación del archivo es efectiva.
Este comportamiento indica que se trata de una muestra posiblemente en desarrollo o diseñada como una distracción deliberada.
Implicaciones estratégicas
La aparición de NailaoLocker plantea interrogantes importantes para el sector:
- ¿Es esta una versión de prueba filtrada accidentalmente?
- ¿Estamos frente a un señuelo diseñado para estudiar el comportamiento de analistas de ciberseguridad?
- ¿Se trata de una muestra interna que aún no está lista para distribución masiva?
Lo que sí está claro es que la adopción de estándares criptográficos regionales, como SM2, marca un precedente preocupante en la evolución del ransomware moderno.
Recomendaciones de protección
Fortinet ya detecta las muestras conocidas de NailaoLocker bajo las siguientes firmas:
- W64/Shadowpad.U!tr
- W64/Filecoder.SZ!tr
- W64/Filecoder.SZ!tr.ransom
Para fortalecer la postura defensiva contra ransomware, se recomienda:
- Aplicar parches de seguridad de forma regular.
- Segmentar las redes internas.
- Implementar soluciones EDR con detección basada en comportamiento.
- Mantener respaldos cifrados y almacenados fuera de línea.
- Capacitar al personal para identificar campañas de phishing y fraudes.
Conclusión
NailaoLocker representa un punto de inflexión en la evolución del ransomware. Su arquitectura sugiere que podría ser una herramienta aún en desarrollo, pero su complejidad y enfoque en criptografía avanzada no deben subestimarse. La incorporación de algoritmos no convencionales y funciones reversibles podría convertirse en tendencia, especialmente si los operadores buscan mecanismos más sofisticados de control y engaño.
