Кампания за атака с рансъмуер Medusa
Свързаният със Северна Корея хакер, известен като Lazarus Group, проследяван още като Diamond Sleet и Pompilus, е бил наблюдаван при внедряването на рансъмуер вирус Medusa при атака срещу неназована организация в Близкия изток. Изследователи по сигурността допълнително са идентифицирали неуспешен опит за проникване от същите актьори, насочен към здравна организация в Съединените щати.
Medusa работи по модела ransomware-as-a-service (RaaS) и е стартирана през 2023 г. от киберпрестъпна група, идентифицирана като Spearwing. От създаването си операцията е поела отговорност за повече от 366 атаки. Прегледът на портала за изтичане на информация на Medusa показва, че от ноември 2025 г. четири здравни и нестопански организации, базирани в САЩ, са посочени като жертви. Сред тях са нестопанска организация за психично здраве и образователна институция, обслужваща деца с аутизъм. Остава неясно дали всички инциденти са пряко приписани на севернокорейски оперативни работници или други филиали на Medusa са отговорни за някои прониквания. През този период средното искане за откуп е било приблизително 260 000 долара.
Съдържание
Модел на еволюция на ransomware в рамките на севернокорейските операции
Използването на ransomware от севернокорейските киберподразделения е добре установено. Още през 2021 г. подклъстер на Lazarus, известен като Andariel (наричан още Stonefly), извърши атаки в Южна Корея, Япония и Съединените щати, използвайки собствени семейства ransomware като SHATTEREDGLASS, Maui и H0lyGh0st.
През октомври 2024 г. групата беше свързана с внедряването на рансъмуер в Play, което сигнализира за стратегически завой към използването на търговски достъпен рансъмуер, вместо да се разчита изключително на персонализирани полезни товари.
Този преход не е изолиран само за Andariel. Съобщава се, че друг севернокорейски хакер, Moonstone Sleet, преди това свързан с персонализирания рансъмуер FakePenny, е атакувал южнокорейски финансови институции, използвайки рансъмуер Qilin. Взети заедно, тези развития предполагат по-широка тактическа корекция, при която севернокорейските оператори все повече функционират като филиали в рамките на установени RaaS екосистеми, вместо да поддържат изцяло собствени вериги от инструменти за рансъмуер.
Оперативен набор от инструменти в подкрепа на кампанията „Медуза“
Дейността, свързана с Medusa, приписвана на Lazarus, включва комбинация от специално разработен зловреден софтуер и публично достъпни офанзивни инструменти. Наблюдаваните инструменти включват:
- RP_Proxy, собствена прокси програма.
- Mimikatz, инструмент за премахване на идентификационни данни, широко използван в дейности след експлоатация.
- Comebacker, изключителна задна вратичка за Lazarus.
- InfoHook, крадец на информация, преди това свързан с внедряванията на Comebacker.
- BLINDINGCAN (известен също като AIRDRY или ZetaNile), троянски кон за отдалечен достъп.
- ChromeStealer, помощна програма, предназначена за извличане на запазени идентификационни данни от браузъра Chrome.
Въпреки че тактиките за изнудване наподобяват по-ранни операции на Андариел, настоящата активност не е окончателно приписана на конкретна подгрупа на Лазар.
Стратегически последици: Прагматизъм пред собственическо развитие
Приемането на варианти на ransomware, като Medusa и Qilin, отразява оперативен прагматизъм. Разработването и поддържането на персонализирани семейства ransomware изисква значителни ресурси, тестове и инфраструктура. Използването на утвърдени RaaS платформи осигурява незабавен достъп до зрели възможности за криптиране, оперативна поддръжка и доказани механизми за монетизация. Структурите на партньорските такси могат да се разглеждат като разумен компромис, когато се преценят спрямо разходите за разработка и поддръжка.
Постоянно и неограничено насочване
Преходът към готов рансъмуер допълнително подчертава трайното участие на Северна Корея във финансово мотивирани киберпрестъпления. Моделите за избор на цели показват минимални ограничения, като организации в Съединените щати, включително здравни заведения, попадат в обхвата. Докато някои престъпни групировки публично твърдят, че избягват цели в здравеопазването, за да смекчат репутационните последици, не изглежда да има подобно ограничение в операциите, свързани с Lazarus.
