Campagna di attacco ransomware Medusa
L'autore della minaccia nordcoreana noto come Lazarus Group, monitorato anche come Diamond Sleet e Pompilus, è stato osservato mentre distribuiva il ransomware Medusa in un attacco contro un'organizzazione non identificata in Medio Oriente. I ricercatori di sicurezza hanno inoltre identificato un tentativo di intrusione fallito da parte degli stessi autori, mirato a un'organizzazione sanitaria negli Stati Uniti.
Medusa opera secondo un modello ransomware-as-a-service (RaaS) ed è stata lanciata nel 2023 da un gruppo di criminali informatici identificato come Spearwing. Dalla sua comparsa, l'operazione ha rivendicato la responsabilità di oltre 366 attacchi. L'analisi del portale di fuga di notizie di Medusa indica che, a partire da novembre 2025, quattro enti sanitari e no-profit con sede negli Stati Uniti sono stati elencati come vittime. Tra questi, un'organizzazione no-profit per la salute mentale e un istituto scolastico che si occupa di bambini autistici. Non è ancora chiaro se tutti gli incidenti siano stati attribuiti direttamente ad agenti nordcoreani o se altri affiliati di Medusa siano stati responsabili di alcune intrusioni. Durante quel periodo, la richiesta media di riscatto si è attestata a circa 260.000 dollari.
Sommario
Un modello di evoluzione del ransomware nelle operazioni nordcoreane
L'uso di ransomware da parte delle unità informatiche nordcoreane è ben consolidato. Già nel 2021, un sottocluster di Lazarus noto come Andariel (noto anche come Stonefly) ha condotto attacchi in Corea del Sud, Giappone e Stati Uniti utilizzando famiglie di ransomware proprietarie come SHATTEREDGLASS, Maui e H0lyGh0st.
Nell'ottobre 2024, il gruppo è stato collegato alla diffusione del ransomware Play, segnalando una svolta strategica verso l'utilizzo di ransomware disponibili in commercio anziché affidarsi esclusivamente a payload personalizzati.
Questa transizione non è un caso isolato di Andariel. Un altro autore di minacce nordcoreano, Moonstone Sleet, precedentemente associato al ransomware personalizzato FakePenny, avrebbe preso di mira istituti finanziari sudcoreani utilizzando il ransomware Qilin. Nel complesso, questi sviluppi suggeriscono un più ampio adattamento tattico, in cui gli operatori nordcoreani operano sempre più come affiliati all'interno di ecosistemi RaaS consolidati, anziché gestire toolchain ransomware interamente proprietari.
Strumenti operativi a supporto della campagna Medusa
L'attività correlata a Medusa attribuita a Lazarus incorpora una combinazione di malware sviluppato su misura e utility offensive disponibili al pubblico. Gli strumenti osservati includono:
- RP_Proxy, un'utilità proxy proprietaria.
- Mimikatz, uno strumento di dumping delle credenziali ampiamente utilizzato nelle attività di post-sfruttamento.
- Comebacker, una backdoor esclusiva di Lazarus.
- InfoHook, un ladro di informazioni precedentemente collegato alle distribuzioni di Comebacker.
- BLINDINGCAN (noto anche come AIRDRY o ZetaNile), un trojan di accesso remoto.
- ChromeStealer, un'utilità progettata per estrarre le credenziali salvate dal browser Chrome.
Sebbene le tattiche di estorsione assomiglino alle precedenti operazioni di Andariel, l'attività attuale non è stata attribuita in modo definitivo a uno specifico sottogruppo di Lazarus.
Implicazioni strategiche: pragmatismo rispetto allo sviluppo proprietario
L'adozione di varianti di ransomware come Medusa e Qilin riflette un pragmatismo operativo. Sviluppare e gestire famiglie di ransomware personalizzate richiede ingenti risorse, test e infrastrutture. Sfruttare piattaforme RaaS consolidate offre accesso immediato a funzionalità di crittografia mature, supporto operativo e meccanismi di monetizzazione comprovati. Le strutture tariffarie di affiliazione possono essere considerate un ragionevole compromesso se confrontate con i costi di sviluppo e manutenzione.
Targeting persistente e sfrenato
Il passaggio a ransomware standardizzati sottolinea ulteriormente il coinvolgimento costante della Corea del Nord nella criminalità informatica a scopo economico. I modelli di selezione degli obiettivi indicano una moderazione minima, con organizzazioni negli Stati Uniti, comprese le strutture sanitarie, che rientrano nel campo di applicazione. Mentre alcuni gruppi criminali dichiarano pubblicamente di evitare obiettivi sanitari per mitigare le ricadute reputazionali, nessuna limitazione comparabile appare evidente nelle operazioni legate a Lazarus.
