मेडूसा रैंसमवेयर हमला अभियान
उत्तर कोरिया से जुड़े हमलावर समूह, जिसे लाजरस ग्रुप के नाम से भी जाना जाता है और जिसे डायमंड स्लीट और पोम्पिलस के नाम से भी ट्रैक किया जाता है, ने मध्य पूर्व में एक अज्ञात संगठन पर हमला करने के लिए मेडुसा रैंसमवेयर का इस्तेमाल किया है। सुरक्षा शोधकर्ताओं ने आगे इसी समूह द्वारा संयुक्त राज्य अमेरिका में एक स्वास्थ्य सेवा संगठन को निशाना बनाकर किए गए एक असफल घुसपैठ के प्रयास की भी पहचान की है।
मेडूसा रैंसमवेयर-एज़-ए-सर्विस (RaaS) मॉडल पर काम करता है और इसे 2023 में स्पीयरविंग नामक एक साइबर अपराध समूह द्वारा लॉन्च किया गया था। इसके सामने आने के बाद से, इस ऑपरेशन ने 366 से अधिक हमलों की जिम्मेदारी ली है। मेडूसा लीक पोर्टल की समीक्षा से पता चलता है कि नवंबर 2025 से शुरू होकर, अमेरिका स्थित चार स्वास्थ्य सेवा और गैर-लाभकारी संस्थाओं को पीड़ितों के रूप में सूचीबद्ध किया गया था। इनमें एक मानसिक स्वास्थ्य गैर-लाभकारी संस्था और ऑटिस्टिक बच्चों को शिक्षा प्रदान करने वाला एक शैक्षणिक संस्थान शामिल था। यह अभी भी स्पष्ट नहीं है कि सभी घटनाएं सीधे उत्तर कोरियाई ऑपरेटरों द्वारा की गई थीं या कुछ घुसपैठ के लिए मेडूसा से जुड़े अन्य संगठन जिम्मेदार थे। उस अवधि के दौरान, फिरौती की औसत मांग लगभग 260,000 डॉलर थी।
विषयसूची
उत्तर कोरियाई अभियानों के भीतर रैनसमवेयर के विकास का एक पैटर्न
उत्तर कोरियाई साइबर इकाइयों द्वारा रैंसमवेयर का उपयोग सर्वविदित है। 2021 की शुरुआत में ही, लाजरस के एक उप-समूह, जिसे एंडारियल (जिसे स्टोनफ्लाई भी कहा जाता है) के नाम से जाना जाता है, ने SHATTEREDGLASS, Maui और H0lyGh0st जैसे मालिकाना रैंसमवेयर परिवारों का उपयोग करके दक्षिण कोरिया, जापान और संयुक्त राज्य अमेरिका में हमले किए थे।
अक्टूबर 2024 में, इस समूह का संबंध प्ले रैंसमवेयर की तैनाती से जोड़ा गया था, जो कस्टम-निर्मित पेलोड पर पूरी तरह से निर्भर रहने के बजाय व्यावसायिक रूप से उपलब्ध रैंसमवेयर के उपयोग की ओर एक रणनीतिक बदलाव का संकेत देता है।
यह बदलाव केवल एंडारियल तक ही सीमित नहीं है। उत्तर कोरिया के एक अन्य हमलावर समूह, मूनस्टोन स्लीट, जो पहले कस्टम फेकपेनी रैंसमवेयर से जुड़ा था, ने किलिन रैंसमवेयर का उपयोग करके दक्षिण कोरियाई वित्तीय संस्थानों को निशाना बनाया है। ये सभी घटनाक्रम एक व्यापक रणनीतिक बदलाव का संकेत देते हैं, जिसमें उत्तर कोरियाई ऑपरेटर पूरी तरह से अपने स्वामित्व वाले रैंसमवेयर टूलचेन को बनाए रखने के बजाय स्थापित RaaS इकोसिस्टम के भीतर सहयोगी के रूप में काम कर रहे हैं।
मेडुसा अभियान का समर्थन करने वाला परिचालन उपकरण
लाजरस द्वारा की गई मेडुसा से संबंधित गतिविधि में विशेष रूप से विकसित मैलवेयर और सार्वजनिक रूप से उपलब्ध आक्रामक उपकरणों का मिश्रण शामिल है। देखे गए उपकरणों में निम्नलिखित शामिल हैं:
- RP_Proxy, एक मालिकाना प्रॉक्सी यूटिलिटी।
- मिमिकैट्ज़, एक क्रेडेंशियल-डंपिंग टूल है जिसका व्यापक रूप से शोषण के बाद की गतिविधियों में उपयोग किया जाता है।
- कमबैकर, एक लाजर-अनन्य पिछला दरवाज़ा।
- InfoHook, एक सूचना चुराने वाला टूल है, जिसका संबंध पहले Comebacker के उपयोग से जोड़ा गया था।
हालांकि जबरन वसूली की रणनीति पहले के एंडारियल अभियानों से मिलती-जुलती है, लेकिन वर्तमान गतिविधि को किसी विशिष्ट लाजरस उप-समूह से निर्णायक रूप से नहीं जोड़ा जा सका है।
रणनीतिक निहितार्थ: स्वामित्ववादी विकास पर व्यावहारिकता
मेडूसा और किलिन जैसे रैंसमवेयर वेरिएंट को अपनाना व्यावहारिक परिचालन रणनीति को दर्शाता है। कस्टम रैंसमवेयर परिवारों को विकसित करने और बनाए रखने के लिए पर्याप्त संसाधनों, परीक्षण और बुनियादी ढांचे की आवश्यकता होती है। स्थापित RaaS प्लेटफॉर्म का लाभ उठाने से परिपक्व एन्क्रिप्शन क्षमताओं, परिचालन सहायता और सिद्ध मुद्रीकरण तंत्र तक तत्काल पहुंच मिलती है। विकास और रखरखाव लागतों की तुलना में संबद्ध शुल्क संरचनाओं को एक उचित समझौता माना जा सकता है।
निरंतर और अनियंत्रित लक्ष्यीकरण
रेडीमेड रैंसमवेयर की ओर बढ़ता रुझान उत्तर कोरिया की वित्तीय लाभ के लिए साइबर अपराध में निरंतर संलिप्तता को और भी स्पष्ट करता है। लक्ष्य चयन के तरीके न्यूनतम संयम दर्शाते हैं, जिसमें स्वास्थ्य सेवा संस्थाओं सहित संयुक्त राज्य अमेरिका के संगठन भी इसके दायरे में आते हैं। हालांकि कुछ आपराधिक समूह सार्वजनिक रूप से प्रतिष्ठा को होने वाले नुकसान से बचने के लिए स्वास्थ्य सेवा लक्ष्यों से दूर रहने का दावा करते हैं, लेकिन लाजरस से जुड़े अभियानों में ऐसी कोई सीमा स्पष्ट रूप से दिखाई नहीं देती है।
