Kampanja napada ransomwarea Medusa
Sjevernokorejski akter prijetnje poznat kao Lazarus Group, također praćen kao Diamond Sleet i Pompilus, primijećen je kako koristi Medusa ransomware u napadu na neimenovanu organizaciju na Bliskom istoku. Sigurnosni istraživači dodatno su identificirali neuspješan pokušaj upada istih aktera usmjeren na zdravstvenu organizaciju u Sjedinjenim Državama.
Medusa posluje po modelu ransomware-as-a-service (RaaS) i pokrenula ju je 2023. godine skupina za kibernetički kriminal identificirana kao Spearwing. Od svog nastanka, operacija je preuzela odgovornost za više od 366 napada. Pregled portala za otkrivanje Medusa podataka pokazuje da su, počevši od studenog 2025., četiri zdravstvene i neprofitne organizacije sa sjedištem u SAD-u navedene kao žrtve. Među njima su neprofitna organizacija za mentalno zdravlje i obrazovna ustanova koja pruža usluge autističnoj djeci. Ostaje nejasno jesu li svi incidenti izravno pripisani sjevernokorejskim operativcima ili su za neke upade odgovorne druge podružnice Meduse. Tijekom tog razdoblja, prosječni zahtjev za otkupninu iznosio je približno 260.000 dolara.
Sadržaj
Uzorak evolucije ransomwarea unutar sjevernokorejskih operacija
Korištenje ransomwarea od strane sjevernokorejskih kibernetičkih jedinica dobro je utvrđeno. Već 2021. godine, podklaster Lazarus poznat kao Andariel (također poznat kao Stonefly) provodio je napade diljem Južne Koreje, Japana i Sjedinjenih Država koristeći vlasničke obitelji ransomwarea kao što su SHATTEREDGLASS, Maui i H0lyGh0st.
U listopadu 2024. grupa je povezana s implementacijom ransomwarea na Playu, što je signaliziralo strateški zaokret prema korištenju komercijalno dostupnog ransomwarea umjesto isključivog oslanjanja na prilagođene programe.
Ovaj prijelaz nije izoliran za Andariel. Još jedan sjevernokorejski akter prijetnje, Moonstone Sleet, prethodno povezan s prilagođenim ransomwareom FakePenny, navodno je ciljao južnokorejske financijske institucije koristeći ransomware Qilin. Zajedno, ovi događaji sugeriraju širu taktičku prilagodbu u kojoj sjevernokorejski operateri sve više funkcioniraju kao pridruženi subjekti unutar uspostavljenih RaaS ekosustava umjesto da održavaju potpuno vlasničke lance alata za ransomware.
Operativni skup alata koji podržava kampanju Meduza
Aktivnost povezana s Meduzom koja se pripisuje Lazarusu uključuje mješavinu posebno razvijenog zlonamjernog softvera i javno dostupnih ofenzivnih alata. Opaženi alati uključuju:
- RP_Proxy, vlasnički proxy uslužni program.
- Mimikatz, alat za brisanje vjerodajnica koji se široko koristi u aktivnostima nakon iskorištavanja.
- Comebacker, Lazarusov ekskluzivni backdoor.
- InfoHook, kradljivac informacija prethodno povezan s implementacijama Comebackera.
- BLINDINGCAN (također poznat kao AIRDRY ili ZetaNile), trojanac za udaljeni pristup.
- ChromeStealer, uslužni program dizajniran za izdvajanje spremljenih vjerodajnica iz preglednika Chrome.
Iako taktike iznude nalikuju ranijim operacijama Andariela, trenutna aktivnost nije konačno pripisana određenoj podgrupi Lazarusa.
Strateške implikacije: Pragmatizam nad vlasničkim razvojem
Usvajanje varijanti ransomwarea poput Meduze i Qilina odražava operativni pragmatizam. Razvoj i održavanje prilagođenih obitelji ransomwarea zahtijeva značajne resurse, testiranje i infrastrukturu. Iskorištavanje etabliranih RaaS platformi pruža neposredan pristup zrelim mogućnostima šifriranja, operativnoj podršci i provjerenim mehanizmima monetizacije. Strukture naknada za partnere mogu se smatrati razumnim kompromisom kada se uspoređuju s troškovima razvoja i održavanja.
Uporno i neograničeno ciljanje
Prelazak na standardni ransomware dodatno naglašava kontinuiranu angažiranost Sjeverne Koreje u financijski motiviranom kibernetičkom kriminalu. Obrasci odabira meta ukazuju na minimalna ograničenja, a organizacije u Sjedinjenim Državama, uključujući zdravstvene subjekte, spadaju u opseg. Dok neke kriminalne skupine javno tvrde da izbjegavaju ciljeve u zdravstvu kako bi ublažile posljedice po ugled, ne čini se da je u operacijama povezanim s Lazarusom vidljivo nikakvo usporedivo ograničenje.
