Útok ransomwaru Medusa
Se Severní Koreou napojený hackerský aktér známý jako Lazarus Group, sledovaný také jako Diamond Sleet a Pompilus, byl pozorován při útoku na nejmenovanou organizaci na Blízkém východě s využitím ransomwaru Medusa. Bezpečnostní experti dále identifikovali neúspěšný pokus stejných aktérů o narušení systému zaměřený na zdravotnickou organizaci ve Spojených státech.
Medusa funguje na modelu ransomware jako služba (RaaS) a byla spuštěna v roce 2023 kyberzločinnou skupinou Spearwing. Od svého vzniku se tato operace přihlásila k odpovědnosti za více než 366 útoků. Prozkoumání portálu Medusa s úniky informací naznačuje, že od listopadu 2025 byly mezi oběťmi uvedeny čtyři americké zdravotnické a neziskové subjekty. Mezi ně patřila nezisková organizace zabývající se duševním zdravím a vzdělávací instituce poskytující služby autistickým dětem. Zatím není jasné, zda všechny incidenty byly přímo připsány severokorejským agentům, nebo zda za některé útoky byly zodpovědné jiné přidružené společnosti Medusy. Během tohoto období činila průměrná výše požadovaného výkupného přibližně 260 000 dolarů.
Obsah
Vzorec vývoje ransomwaru v rámci severokorejských operací
Používání ransomwaru severokorejskými kybernetickými jednotkami je dobře zavedené. Již v roce 2021 prováděla podskupina Lazarus známá jako Andariel (také označovaná jako Stonefly) útoky v Jižní Koreji, Japonsku a Spojených státech s využitím proprietárních rodin ransomwaru, jako jsou SHATTEREDGLASS, Maui a H0lyGh0st.
V říjnu 2024 byla skupina spojena s nasazením ransomwaru Play, což signalizovalo strategický přechod k používání komerčně dostupného ransomwaru namísto výhradního spoléhání se na zakázkově vytvořené datové balíčky.
Tento přechod se netýká pouze Andariel. Další severokorejský aktér hrozby, Moonstone Sleet, dříve spojovaný s ransomwarem FakePenny, údajně útočil na jihokorejské finanční instituce pomocí ransomwaru Qilin. Dohromady tento vývoj naznačuje širší taktickou úpravu, v níž severokorejští operátoři stále častěji fungují jako přidružené společnosti v rámci zavedených ekosystémů RaaS, místo aby si udržovali zcela proprietární řetězce nástrojů pro ransomware.
Sada operačních nástrojů podporující kampaň Medúza
Aktivita související s Medusou, která je připisována Lazarusovi, zahrnuje kombinaci speciálně vyvinutého malwaru a veřejně dostupných útočných nástrojů. Mezi pozorované nástroje patří:
- RP_Proxy, proprietární proxy utilita.
- Mimikatz, nástroj pro odevzdání přihlašovacích údajů, široce používaný v aktivitách po vykořisťování.
- Comebacker, zadní vrátka exkluzivní pro Lazara.
- InfoHook, nástroj pro krádež informací, dříve spojovaný s nasazením Comebackeru.
- BLINDINGCAN (také známý jako AIRDRY nebo ZetaNile), trojský kůň pro vzdálený přístup.
- ChromeStealer, nástroj určený k extrahování uložených přihlašovacích údajů z prohlížeče Chrome.
Ačkoli vyděračské taktiky připomínají dřívější operace Andarielů, současná aktivita nebyla přesvědčivě připsána konkrétní podskupině Lazarus.
Strategické důsledky: Pragmatismus nad proprietárním rozvojem
Přijetí variant ransomwaru, jako jsou Medusa a Qilin, odráží provozní pragmatismus. Vývoj a údržba vlastních rodin ransomwaru vyžaduje značné zdroje, testování a infrastrukturu. Využití zavedených platforem RaaS poskytuje okamžitý přístup k vyspělým šifrovacím funkcím, provozní podpoře a osvědčeným mechanismům monetizace. Struktury poplatků za affiliate programy lze považovat za rozumný kompromis ve srovnání s náklady na vývoj a údržbu.
Trvalé a neomezené cílení
Posun směrem k běžně dostupným ransomwarovým útokům dále podtrhuje trvalé zapojení Severní Koreje do finančně motivované kyberkriminality. Výběr cílů útoků naznačuje minimální zdrženlivost, přičemž do působnosti spadají organizace ve Spojených státech, včetně zdravotnických zařízení. Zatímco některé zločinecké skupiny veřejně tvrdí, že se cílům ve zdravotnictví vyhýbají, aby zmírnily dopady na pověst, u operací spojených s programem Lazarus se žádné srovnatelné omezení nezdá být patrné.
