Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Amenaça persistent avançada (APT) Campanya d'atac de ransomware Medusa

Campanya d'atac de ransomware Medusa

El Mezo el Amenaça persistent avançada (APT), Ransomware
Traduir a:

L'actor de pirateria vinculat a Corea del Nord conegut com a Lazarus Group, també rastrejat com a Diamond Sleet i Pompilus, ha estat observat desplegant el ransomware Medusa en un atac contra una organització anònima a l'Orient Mitjà. Els investigadors de seguretat també van identificar un intent d'intrusió fallit per part dels mateixos actors dirigit a una organització sanitària als Estats Units.

Medusa opera sota un model de ransomware com a servei (RaaS) i va ser llançada el 2023 per un grup de ciberdelinqüència identificat com a Spearwing. Des de la seva aparició, l'operació ha reivindicat la responsabilitat de més de 366 atacs. La revisió del portal de filtracions Medusa indica que, a partir del novembre de 2025, quatre entitats sanitàries i sense ànim de lucre amb seu als Estats Units van ser llistades com a víctimes. Aquestes incloïen una organització sense ànim de lucre de salut mental i una institució educativa que atén nens autistes. No queda clar si tots els incidents es van atribuir directament a agents nord-coreans o si altres afiliats de Medusa van ser responsables d'algunes intrusions. Durant aquest període, la demanda mitjana de rescat es va situar aproximadament en 260.000 dòlars.

Un patró d’evolució del ransomware dins de les operacions nord-coreanes

L'ús de ransomware per part de les unitats cibernètiques nord-coreanes està ben establert. Ja el 2021, un subclúster de Lazarus conegut com a Andariel (també anomenat Stonefly) va dur a terme atacs a Corea del Sud, Japó i els Estats Units utilitzant famílies de ransomware propietàries com ara SHATTEREDGLASS, Maui i H0lyGh0st.

A l'octubre de 2024, el grup va ser vinculat a un desplegament del ransomware Play, cosa que indica un gir estratègic cap a l'ús de ransomware disponible comercialment en lloc de confiar exclusivament en càrregues útils personalitzades.

Aquesta transició no és aïllada d'Andariel. Es va informar que un altre actor d'amenaces nord-coreà, Moonstone Sleet, anteriorment associat amb el ransomware personalitzat FakePenny, havia atacat institucions financeres sud-coreanes utilitzant el ransomware Qilin. En conjunt, aquests desenvolupaments suggereixen un ajustament tàctic més ampli en què els operadors nord-coreans funcionen cada cop més com a afiliats dins d'ecosistemes RaaS establerts en lloc de mantenir cadenes d'eines de ransomware totalment pròpies.

Conjunt d’eines operatives que donen suport a la campanya Medusa

L'activitat relacionada amb Medusa atribuïda a Lazarus incorpora una barreja de programari maliciós desenvolupat a mida i utilitats ofensives disponibles públicament. Les eines observades inclouen:

  • RP_Proxy, una utilitat de proxy pròpia.
  • Mimikatz, una eina de dumping de credencials àmpliament utilitzada en activitats postexplotació.
  • Comebacker, una porta del darrere exclusiva de Llàtzer.
  • InfoHook, un lladre d'informació anteriorment vinculat a les implementacions de Comebacker.
  • BLINDINGCAN (també conegut com AIRDRY o ZetaNile), un troià d'accés remot.
  • ChromeStealer, una utilitat dissenyada per extreure les credencials desades del navegador Chrome.

Tot i que les tàctiques d'extorsió s'assemblen a les operacions anteriors d'Andariel, l'activitat actual no s'ha atribuït de manera concloent a un subgrup específic de Lazarus.

Implicacions estratègiques: pragmatisme per sobre del desenvolupament propietari

L'adopció de variants de ransomware com ara Medusa i Qilin reflecteix el pragmatisme operatiu. Desenvolupar i mantenir famílies de ransomware personalitzades requereix recursos, proves i infraestructura substancials. L'aprofitament de les plataformes RaaS establertes proporciona accés immediat a capacitats de xifratge madures, suport operatiu i mecanismes de monetització provats. Les estructures de tarifes d'afiliació es poden considerar com un compromís raonable quan es ponderen amb els costos de desenvolupament i manteniment.

Segmentació persistent i sense restriccions

El canvi cap al ransomware estàndard subratlla encara més la participació sostinguda de Corea del Nord en la ciberdelinqüència amb motivacions financeres. Els patrons de selecció d'objectius indiquen una restricció mínima, i organitzacions dels Estats Units, incloses les entitats sanitàries, entren dins de l'abast. Si bé alguns grups criminals afirmen públicament que eviten els objectius sanitaris per mitigar les conseqüències negatives per a la seva reputació, no sembla evident cap limitació comparable en les operacions relacionades amb Lazarus.

Tendència

Campanya d'atac de ransomware Medusa

Amenaça persistent avançada (APT), Ransomware
L'actor de pirateria vinculat a Corea del Nord conegut com a Lazarus Group, també rastrejat com a Diamond Sleet i Pompilus, ha estat observat desplegant el ransomware Medusa en un atac contra una organització anònima a l'Orient Mitjà. Els investigadors de seguretat també van identificar un intent d'intrusió fallit per part dels mateixos actors dirigit a una organització sanitària als Estats...

American Express - Estafa per correu electrònic: cal...

Phishing, Correu brossa
Mantenir-se alerta quan es tracta de correus electrònics inesperats és essencial en l'entorn digital actual. Els ciberdelinqüents sovint suplanten la identitat de marques de confiança per enganyar els destinataris perquè revelin informació confidencial. L'anomenada estafa de correu electrònic American Express - Account Access Update Needed Email Scam és una d'aquestes campanyes de phishing....

Més vist

Carregant...