Medusa Ransomware Attack Campaign

رُصدت مجموعة لازاروس، وهي جهة تهديد مرتبطة بكوريا الشمالية، وتُعرف أيضاً باسمي دايموند سليت وبومبيلوس، وهي تستخدم برنامج الفدية ميدوسا في هجوم على منظمة لم يُكشف عن اسمها في الشرق الأوسط. كما رصد باحثون أمنيون محاولة اختراق فاشلة قامت بها نفس الجهة استهدفت منظمة رعاية صحية في الولايات المتحدة.

تعمل مجموعة "ميدوسا" الخبيثة وفق نموذج "برامج الفدية كخدمة" (RaaS)، وقد أُطلقت عام 2023 من قِبل مجموعة إجرامية إلكترونية تُعرف باسم "سبيروينغ". ومنذ ظهورها، أعلنت المجموعة مسؤوليتها عن أكثر من 366 هجومًا. وتشير مراجعة بوابة تسريبات "ميدوسا" إلى أنه بدءًا من نوفمبر 2025، تم إدراج أربع مؤسسات أمريكية، منها مؤسسات رعاية صحية ومنظمات غير ربحية، ضمن قائمة الضحايا. وشملت هذه المؤسسات منظمة غير ربحية تُعنى بالصحة النفسية، ومؤسسة تعليمية تُعنى بالأطفال المصابين بالتوحد. ولا يزال من غير الواضح ما إذا كانت جميع الحوادث تُعزى مباشرةً إلى عملاء كوريين شماليين، أو ما إذا كانت جهات أخرى تابعة لـ"ميدوسا" مسؤولة عن بعض عمليات الاختراق. وخلال تلك الفترة، بلغ متوسط مبلغ الفدية المطلوب حوالي 260 ألف دولار أمريكي.

نمط تطور برامج الفدية الخبيثة ضمن العمليات الكورية الشمالية

إن استخدام وحدات الأمن السيبراني الكورية الشمالية لبرامج الفدية أمرٌ راسخ. ففي وقت مبكر من عام 2021، شنت مجموعة فرعية من لازاروس تُعرف باسم أندارييل (وتُعرف أيضاً باسم ستون فلاي) هجمات عبر كوريا الجنوبية واليابان والولايات المتحدة باستخدام عائلات برامج فدية خاصة مثل شاترد جلاس وماوي وهولي غوست.

في أكتوبر 2024، تم ربط المجموعة بنشر برنامج الفدية Play، مما يشير إلى تحول استراتيجي نحو استخدام برامج الفدية المتاحة تجارياً بدلاً من الاعتماد بشكل حصري على الحمولات المصممة خصيصاً.

لا يقتصر هذا التحول على شركة أندارييل وحدها. فقد أفادت التقارير أن جهة تهديد كورية شمالية أخرى، تُدعى مونستون سليت، والتي سبق ربطها ببرنامج الفدية الخبيث فيك بيني، استهدفت مؤسسات مالية كورية جنوبية باستخدام برنامج الفدية الخبيث كيلين. تشير هذه التطورات مجتمعةً إلى تعديل تكتيكي أوسع نطاقًا، حيث يعمل المشغلون الكوريون الشماليون بشكل متزايد كشركاء ضمن أنظمة برامج الفدية كخدمة (RaaS) القائمة، بدلًا من امتلاكهم سلاسل أدوات برامج فدية خبيثة خاصة بهم.

مجموعة الأدوات التشغيلية الداعمة لحملة ميدوسا

تتضمن الأنشطة المرتبطة ببرنامج ميدوسا، والمنسوبة إلى لازاروس، مزيجًا من البرامج الضارة المطورة خصيصًا وأدوات هجومية متاحة للعموم. وتشمل الأدوات التي تم رصدها ما يلي:

• RP_Proxy، أداة بروكسي احتكارية.
• Mimikatz، أداة لتفريغ بيانات الاعتماد تستخدم على نطاق واسع في أنشطة ما بعد الاستغلال.
• Comebacker، باب خلفي حصري لـLazarus.
• InfoHook، وهو برنامج لسرقة المعلومات كان مرتبطًا سابقًا بعمليات نشر Comebacker.
• BLINDINGCAN (المعروف أيضًا باسم AIRDRY أو ZetaNile)، وهو حصان طروادة للوصول عن بعد.

• ChromeStealer، أداة مصممة لاستخراج بيانات الاعتماد المحفوظة من متصفح Chrome.

على الرغم من أن أساليب الابتزاز تشبه عمليات أندارييل السابقة، إلا أنه لم يتم تحديد النشاط الحالي بشكل قاطع على أنه ينتمي إلى مجموعة فرعية محددة من لازاروس.

الآثار الاستراتيجية: البراغماتية على حساب التطوير الاحتكاري

يعكس تبني برامج الفدية الخبيثة، مثل ميدوسا وكيلين، نهجًا عمليًا واقعيًا. يتطلب تطوير وصيانة عائلات برامج الفدية الخبيثة المخصصة موارد ضخمة، واختبارات مكثفة، وبنية تحتية متطورة. يوفر استخدام منصات الفدية كخدمة (RaaS) الراسخة وصولًا فوريًا إلى إمكانيات تشفير متطورة، ودعم تشغيلي، وآليات ربحية مجربة. يمكن اعتبار هياكل رسوم الشراكة حلًا وسطًا معقولًا عند مقارنتها بتكاليف التطوير والصيانة.

استهداف مستمر وغير مقيد

يُؤكد التحول نحو استخدام برامج الفدية الجاهزة استمرار انخراط كوريا الشمالية في الجرائم الإلكترونية ذات الدوافع المالية. وتشير أنماط اختيار الأهداف إلى أدنى حد من القيود، حيث تقع منظمات في الولايات المتحدة، بما في ذلك مؤسسات الرعاية الصحية، ضمن نطاق هذه البرامج. وبينما تدّعي بعض الجماعات الإجرامية علنًا تجنب استهداف مؤسسات الرعاية الصحية للحد من التداعيات السلبية على سمعتها، لا يبدو أن هناك أي قيود مماثلة في العمليات المرتبطة ببرنامج لازاروس.