کمپین حمله باج‌افزار Medusa

مشاهده شده است که عامل تهدید مرتبط با کره شمالی به نام گروه لازاروس (Lazarus Group) که با نام‌های دایموند اسلیت (Diamond Sleet) و پمپیلوس (Pompilus) نیز ردیابی می‌شود، در حال استفاده از باج‌افزار مدوسا (Medusa) در حمله‌ای علیه یک سازمان ناشناس در خاورمیانه است. محققان امنیتی همچنین یک تلاش ناموفق برای نفوذ توسط همین عاملان را شناسایی کردند که یک سازمان مراقبت‌های بهداشتی در ایالات متحده را هدف قرار داده بود.

مدوسا تحت مدل باج‌افزار به عنوان سرویس (RaaS) فعالیت می‌کند و در سال ۲۰۲۳ توسط یک گروه جرایم سایبری به نام Spearwing راه‌اندازی شد. از زمان ظهور آن، این عملیات مسئولیت بیش از ۳۶۶ حمله را بر عهده گرفته است. بررسی پورتال نشت مدوسا نشان می‌دهد که از نوامبر ۲۰۲۵، چهار نهاد مراقبت‌های بهداشتی و غیرانتفاعی مستقر در ایالات متحده به عنوان قربانی فهرست شده‌اند. این نهادها شامل یک سازمان غیرانتفاعی سلامت روان و یک موسسه آموزشی که به کودکان اوتیسم خدمت می‌کند، بودند. هنوز مشخص نیست که آیا همه حوادث مستقیماً به عوامل کره شمالی نسبت داده شده‌اند یا اینکه سایر شرکت‌های وابسته به مدوسا مسئول برخی از نفوذها بوده‌اند. در طول این دوره، میانگین درخواست باج تقریباً ۲۶۰،۰۰۰ دلار بوده است.

الگوی تکامل باج‌افزار در عملیات‌های کره شمالی

استفاده از باج‌افزار توسط واحدهای سایبری کره شمالی به خوبی اثبات شده است. در اوایل سال ۲۰۲۱، یک زیرگروه از لازاروس به نام Andariel (که با نام Stonefly نیز شناخته می‌شود) با استفاده از خانواده‌های باج‌افزار اختصاصی مانند SHATTEREDGLASS، Maui و H0lyGh0st حملاتی را در سراسر کره جنوبی، ژاپن و ایالات متحده انجام داد.

در اکتبر ۲۰۲۴، این گروه به استقرار باج‌افزار Play مرتبط شد که نشان‌دهنده‌ی یک چرخش استراتژیک به سمت استفاده از باج‌افزار موجود در بازار به جای تکیه‌ی انحصاری بر پیلودهای سفارشی است.

این گذار تنها به Andariel محدود نمی‌شود. گزارش شده است که یکی دیگر از عوامل تهدید کره شمالی، Moonstone Sleet، که قبلاً با باج‌افزار سفارشی FakePenny مرتبط بود، با استفاده از باج‌افزار Qilin مؤسسات مالی کره جنوبی را هدف قرار داده است. در مجموع، این تحولات نشان دهنده یک تنظیم تاکتیکی گسترده‌تر است که در آن اپراتورهای کره شمالی به جای حفظ زنجیره ابزارهای باج‌افزاری کاملاً اختصاصی، به طور فزاینده‌ای به عنوان شرکت‌های وابسته در اکوسیستم‌های RaaS مستقر عمل می‌کنند.

مجموعه ابزارهای عملیاتی پشتیبانی از کمپین مدوسا

فعالیت مرتبط با مدوسا که به لازاروس نسبت داده می‌شود، ترکیبی از بدافزارهای سفارشی توسعه‌یافته و ابزارهای تهاجمی در دسترس عموم را در بر می‌گیرد. ابزارهای مشاهده‌شده شامل موارد زیر است:

• RP_Proxy، یک ابزار پروکسی اختصاصی.
• میمیکاتز، ابزاری برای آزادسازی اعتبارنامه‌ها که به طور گسترده در فعالیت‌های پس از بهره‌برداری استفاده می‌شود.
• Comebacker، یک درب پشتی منحصر به فرد لازاروس.
• InfoHook، یک دزد اطلاعات که قبلاً به استقرارهای Comebacker مرتبط بود.

اگرچه تاکتیک‌های اخاذی شبیه عملیات‌های قبلی آنداریل است، اما فعالیت‌های فعلی به طور قطعی به یک زیرگروه خاص لازاروس نسبت داده نشده است.

پیامدهای استراتژیک: عمل‌گرایی به جای توسعه انحصاری

پذیرش انواع باج‌افزارهایی مانند مدوسا و کیلین، نشان‌دهنده‌ی عمل‌گرایی عملیاتی است. توسعه و نگهداری خانواده‌های باج‌افزارهای سفارشی نیازمند منابع، آزمایش و زیرساخت‌های قابل توجهی است. استفاده از پلتفرم‌های RaaS مستقر، دسترسی فوری به قابلیت‌های رمزگذاری بالغ، پشتیبانی عملیاتی و مکانیسم‌های کسب درآمد اثبات‌شده را فراهم می‌کند. ساختارهای هزینه‌ی همکاری در فروش، در مقایسه با هزینه‌های توسعه و نگهداری، می‌توانند به عنوان یک معامله‌ی منطقی در نظر گرفته شوند.

هدف‌گیری مداوم و نامحدود

تغییر به سمت باج‌افزارهای آماده، بیش از پیش بر مشارکت پایدار کره شمالی در جرایم سایبری با انگیزه مالی تأکید می‌کند. الگوهای انتخاب هدف، نشان‌دهنده حداقل محدودیت است و سازمان‌هایی در ایالات متحده، از جمله نهادهای مراقبت‌های بهداشتی، در محدوده این حملات قرار می‌گیرند. در حالی که برخی از گروه‌های جنایتکار علناً ادعا می‌کنند که برای کاهش آسیب‌های اعتباری، از اهداف مراقبت‌های بهداشتی اجتناب می‌کنند، هیچ محدودیت قابل مقایسه‌ای در عملیات مرتبط با لازاروس مشهود نیست.