הצעת הנחה מרובה רישיונות
מסד נתונים של איומים איום מתמשך מתקדם (APT) קמפיין מתקפת הכופר של מדוזה

קמפיין מתקפת הכופר של מדוזה

עד Mezo ב-איום מתמשך מתקדם (APT), תוכנת כופר
לתרגם ל:

גורם איום המקושר לצפון קוריאה, המכונה קבוצת Lazarus, העוקבת גם אחריהם בשם Diamond Sleet ו-Pompilus, נצפה פורס תוכנת כופר בשם Medusa במתקפה נגד ארגון אנונימי במזרח התיכון. חוקרי אבטחה זיהו בנוסף ניסיון חדירה כושל של אותם גורמים שכוון לארגון בריאות בארצות הברית.

מדוזה פועלת במודל של תוכנת כופר כשירות (RaaS) והושקה בשנת 2023 על ידי קבוצת פשעי סייבר המזוהה בשם Spearwing. מאז הופעתה, המבצע נטל אחריות על יותר מ-366 מתקפות. סקירת פורטל ההדלפות של מדוזה מצביעה על כך שהחל מנובמבר 2025, ארבעה גופים רפואיים וארגונים ללא מטרות רווח שבסיסם בארה"ב נרשמו כקורבנות. אלה כללו עמותה לבריאות הנפש ומוסד חינוכי המשרת ילדים אוטיסטים. עדיין לא ברור האם כל האירועים יוחסו ישירות לפעילים צפון קוריאנים או שמא חברות קשורות אחרות של מדוזה היו אחראיות לפריצות מסוימות. במהלך תקופה זו, דרישת הכופר הממוצעת עמדה על כ-260,000 דולר.

דפוס של התפתחות תוכנות כופר בתוך פעילות בצפון קוריאה

השימוש בתוכנות כופר על ידי יחידות סייבר צפון קוריאניות מבוסס היטב. כבר בשנת 2021, תת-אשכול Lazarus המכונה Andariel (המכונה גם Stonefly) ביצע התקפות ברחבי דרום קוריאה, יפן וארצות הברית באמצעות משפחות תוכנות כופר קנייניות כגון SHATTEREDGLASS, Maui ו-H0lyGh0st.

באוקטובר 2024, הקבוצה נקשרה לפריסה של תוכנת הכופר Play, מה שסימן שינוי אסטרטגי לעבר שימוש בתוכנות כופר זמינות מסחרית במקום להסתמך אך ורק על מטענים שנבנו בהתאמה אישית.

מעבר זה אינו מבודד לאנדריאל. גורם איום צפון קוריאני נוסף, Moonstone Sleet, שקושר בעבר לתוכנת הכופר FakePenny, דווח כי כיוון למוסדות פיננסיים דרום קוריאניים באמצעות תוכנת הכופר Qilin. יחד, התפתחויות אלו מצביעות על התאמה טקטית רחבה יותר שבה מפעילים צפון קוריאנים מתפקדים יותר ויותר כשותפים בתוך מערכות אקולוגיות RaaS מבוססות במקום לתחזק שרשראות כלים של תוכנת הכופר הקניינית לחלוטין.

ערכת כלים תפעוליים התומכת בקמפיין מדוזה

הפעילות הקשורה למדוזה המיוחסת ללזרוס משלבת שילוב של תוכנות זדוניות שפותחו בהתאמה אישית ותוכניות תוכנה פוגעניות הזמינות לציבור. הכלים שנצפו כוללים:

  • RP_Proxy, כלי עזר פרוקסי קנייני.
  • מימיקץ, כלי להשלכת אישורים הנמצא בשימוש נרחב בפעילות שלאחר ניצול.
  • Comebacker, דלת אחורית בלעדית לזרוס.
  • InfoHook, גונב מידע שקושר בעבר לפריסת Comebacker.
  • BLINDINGCAN (הידוע גם בשם AIRDRY או ZetaNile), סוס טרויאני לגישה מרחוק.
  • ChromeStealer, כלי עזר שנועד לחלץ אישורים שנשמרו מדפדפן Chrome.

    • למרות שטקטיקות הסחיטה דומות לפעולות קודמות של אנדריאל, הפעילות הנוכחית לא יוחסה באופן חד משמעי לתת-קבוצה ספציפית של לזרוס.

    השלכות אסטרטגיות: פרגמטיזם על פני פיתוח קנייני

    אימוץ גרסאות של תוכנות כופר כגון Medusa ו-Qilin משקף פרגמטיזם תפעולי. פיתוח ותחזוקה של משפחות תוכנות כופר מותאמות אישית דורשים משאבים, בדיקות ותשתיות משמעותיים. מינוף פלטפורמות RaaS מבוססות מספק גישה מיידית ליכולות הצפנה בוגרות, תמיכה תפעולית ומנגנוני מוניטיזציה מוכחים. מבני עמלות שותפים עשויים להיחשב כפשרה סבירה כאשר שוקלים אותן מול עלויות פיתוח ותחזוקה.

    מיקוד מתמשך ובלתי מוגבל

    המעבר לתוכנות כופר מוכנות לשימוש מדגיש עוד יותר את מעורבותה המתמשכת של צפון קוריאה בפשעי סייבר ממניעים כלכליים. דפוסי בחירת מטרות מצביעים על ריסון מינימלי, כאשר ארגונים בארצות הברית, כולל גופי שירותי בריאות, נכללים במסגרת התחום. בעוד שחלק מקבוצות הפשע טוענות בפומבי כי הן נמנעות ממטרות בתחום הבריאות כדי למתן נזקים תדמיתיים, לא נראה כי מגבלה דומה ניכרת בפעולות הקשורות ל-Lazarus.

    מגמות

    קמפיין מתקפת הכופר של מדוזה

    איום מתמשך מתקדם (APT), תוכנת כופר
    גורם איום המקושר לצפון קוריאה, המכונה קבוצת Lazarus, העוקבת גם אחריהם בשם Diamond Sleet ו-Pompilus, נצפה פורס תוכנת כופר בשם Medusa במתקפה נגד ארגון אנונימי במזרח התיכון. חוקרי אבטחה זיהו בנוסף ניסיון חדירה כושל של אותם גורמים שכוון לארגון בריאות בארצות הברית. מדוזה פועלת במודל של תוכנת כופר כשירות (RaaS) והושקה בשנת 2023 על ידי קבוצת פשעי סייבר המזוהה בשם Spearwing. מאז הופעתה, המבצע נטל...

    אמריקן אקספרס - נדרש עדכון גישה לחשבון - הונאת דוא"ל

    פישינג, ספאם
    שמירה על ערנות בעת התמודדות עם מיילים בלתי צפויים היא חיונית בסביבה הדיגיטלית של ימינו. פושעי סייבר מתחזים לעתים קרובות למותגים מהימנים כדי להערים על נמענים ולגרום להם לחשוף מידע רגיש. מה שנקרא "אמריקן אקספרס - נדרש עדכון גישה לחשבון" הוא קמפיין פישינג כזה. מיילים אלה אינם קשורים לחברות, ארגונים או ישויות לגיטימיות, כולל אמריקן אקספרס האמיתית. במקום זאת, הם נוצרים על ידי נוכלים המבקשים לנצל את...

    הכי נצפה

    תוכנה זדונית

    פישינג, ספאם
    23,864
    הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
    טוען...