Medusa zsarolóvírus támadási kampány

Az Észak-Koreához köthető Lazarus Group nevű fenyegetést, amelyet Diamond Sleet és Pompilus néven is nyomon követnek, Medusa zsarolóvírust vetett be egy meg nem nevezett közel-keleti szervezet elleni támadás során. Biztonsági kutatók továbbá azonosítottak egy sikertelen behatolási kísérletet is, amelyet ugyanazok a szereplők követtek el, és egy egészségügyi szervezetet vettek célba az Egyesült Államokban.

A Medusa zsarolóvírus-szolgáltatásként (RaaS) modell szerint működik, és 2023-ban indította el egy Spearwing néven azonosított kiberbűnözői csoport. Létrejötte óta a szervezet több mint 366 támadásért vállalta a felelősséget. A Medusa szivárogtatási portál áttekintése azt mutatja, hogy 2025 novemberétől kezdődően négy amerikai székhelyű egészségügyi és nonprofit szervezetet soroltak áldozatok közé. Köztük volt egy mentális egészségügyi nonprofit szervezet és egy autista gyermekeket ellátó oktatási intézmény. Továbbra sem világos, hogy minden incidenst közvetlenül észak-koreai ügynököknek tulajdonítottak-e, vagy más Medusa-leányvállalatok voltak felelősek egyes behatolásokért. Ebben az időszakban az átlagos váltságdíjkövetelés körülbelül 260 000 dollár volt.

A zsarolóvírusok evolúciójának mintázata az észak-koreai műveletekben

Az észak-koreai kibercsapatok zsarolóvírus-használata jól ismert. Már 2021-ben is egy Andariel (más néven Stonefly) néven ismert Lazarus alklast támadásokat hajtott végre Dél-Koreában, Japánban és az Egyesült Államokban olyan saját fejlesztésű zsarolóvírus-családok használatával, mint a SHATTEREDGLASS, a Maui és a H0lyGh0st.

2024 októberében a csoportot összefüggésbe hozták egy Play zsarolóvírus telepítésével, ami stratégiai fordulatot jelzett a kereskedelmi forgalomban kapható zsarolóvírusok használatára a kizárólag egyedi fejlesztésű hasznos fájlokra való támaszkodás helyett.

Ez az átmenet nem csak az Andarielre jellemző. Egy másik észak-koreai fenyegető szereplő, a Moonstone Sleet, amelyet korábban az egyedi FakePenny zsarolóvírussal hoztak összefüggésbe, a jelentések szerint dél-koreai pénzügyi intézményeket vett célba a Qilin zsarolóvírus segítségével. Ezek a fejlemények együttesen egy szélesebb körű taktikai kiigazításra utalnak, amelyben az észak-koreai operátorok egyre inkább a már meglévő RaaS ökoszisztémákon belüli leányvállalatokként működnek, ahelyett, hogy teljes mértékben saját zsarolóvírus-eszközláncokat tartanának fenn.

A Medusa hadjáratot támogató operatív eszköztár

A Lazarusnak tulajdonított Medusa-val kapcsolatos tevékenység egyedi fejlesztésű rosszindulatú programok és nyilvánosan elérhető támadó segédprogramok keverékét foglalja magában. A megfigyelt eszközök a következők:

• RP_Proxy, egy saját proxy segédprogram.
• Mimikatz , egy hitelesítő adatok lefoglalására szolgáló eszköz, amelyet széles körben használnak a kizsákmányolás utáni tevékenységekben.
• Comebacker, a Lazarus-exkluzív hátsó ajtó.
• Az InfoHook, egy információlopó, amelyet korábban a Comebacker telepítéseihez kötöttek.
• A BLINDINGCAN (más néven AIRDRY vagy ZetaNile), egy távoli hozzáférést biztosító trójai vírus.

• ChromeStealer, egy segédprogram, amelyet a Chrome böngészőből mentett hitelesítő adatok kinyerésére terveztek.

Bár a zsarolási taktikák hasonlítanak a korábbi Andariel-műveletekhez, a jelenlegi tevékenységet nem sikerült meggyőzően egy adott Lazarus alcsoporthoz kötni.

Stratégiai következmények: Pragmatizmus a szabadalmaztatott fejlesztés helyett

Az olyan zsarolóvírus-variánsok, mint a Medusa és a Qilin, bevezetése a működési pragmatizmust tükrözi. Az egyedi zsarolóvírus-családok fejlesztése és fenntartása jelentős erőforrásokat, tesztelést és infrastruktúrát igényel. A bevált RaaS platformok kihasználása azonnali hozzáférést biztosít az érett titkosítási képességekhez, az operatív támogatáshoz és a bevált monetizációs mechanizmusokhoz. A partneri díjszerkezetek ésszerű kompromisszumnak tekinthetők a fejlesztési és karbantartási költségekkel összehasonlítva.

Állandó és féktelen célzás

Az azonnal használható zsarolóvírusok felé való elmozdulás tovább hangsúlyozza Észak-Korea tartós részvételét a pénzügyi indíttatású kiberbűnözésben. A célpontok kiválasztásának mintázatai minimális visszafogottságot mutatnak, az Egyesült Államokbeli szervezetek, köztük az egészségügyi intézmények is a hatókörbe tartoznak. Míg egyes bűnözői csoportok nyilvánosan azt állítják, hogy a hírnévvel kapcsolatos károk enyhítése érdekében kerülik az egészségügyi célpontokat, a Lazarushoz kapcsolódó műveletekben nem mutatkozik hasonló korlátozás.