„Medusa“ išpirkos reikalaujančios programinės įrangos atakos kampanija
Su Šiaurės Korėja susijęs grėsmės veikėjas, žinomas kaip „Lazarus Group“, taip pat sekamas kaip „Diamond Sleet“ ir „Pompilus“, buvo pastebėtas naudojantis išpirkos reikalaujančią „Medusa“ virusą atakoje prieš neįvardintą organizaciją Artimuosiuose Rytuose. Saugumo tyrėjai taip pat nustatė nesėkmingą tų pačių veikėjų įsilaužimo bandymą, kurio taikiniu buvo sveikatos priežiūros organizacija Jungtinėse Valstijose.
„Medusa“ veikia pagal išpirkos reikalaujančios programinės įrangos kaip paslaugos (RaaS) modelį ir buvo paleista 2023 m. kibernetinių nusikaltimų grupuotės, identifikuotos kaip „Spearwing“. Nuo pat savo atsiradimo ši organizacija prisiėmė atsakomybę už daugiau nei 366 atakas. „Medusa“ informacijos nutekėjimo portalo apžvalga rodo, kad nuo 2025 m. lapkričio mėn. aukomis buvo įtrauktos keturios JAV įsikūrusios sveikatos priežiūros ir ne pelno siekiančios įstaigos. Tarp jų buvo psichikos sveikatos ne pelno siekianti organizacija ir švietimo įstaiga, teikianti paslaugas autistiškiems vaikams. Vis dar neaišku, ar visi incidentai buvo tiesiogiai priskirti Šiaurės Korėjos agentams, ar už kai kuriuos įsilaužimus buvo atsakingos kitos „Medusa“ filialai. Tuo laikotarpiu vidutinė išpirkos suma siekė maždaug 260 000 USD.
Turinys
Išpirkos reikalaujančių programų evoliucijos modelis Šiaurės Korėjos operacijose
Šiaurės Korėjos kibernetinių padalinių išpirkos reikalaujančių programų naudojimas yra gerai žinomas. Jau 2021 m. „Lazarus“ subklasteris, žinomas kaip „Andariel“ (dar vadinamas „Stonefly“), vykdė atakas Pietų Korėjoje, Japonijoje ir Jungtinėse Amerikos Valstijose, naudodamas patentuotas išpirkos reikalaujančių programų šeimas, tokias kaip „SHATTEREDGLASS“, „Maui“ ir „H0lyGh0st“.
2024 m. spalį grupė buvo susieta su „Play“ išpirkos reikalaujančios programinės įrangos dislokavimu, o tai signalizavo apie strateginį posūkį link komerciškai prieinamų išpirkos reikalaujančių programų naudojimo, o ne vien tik pasikliovimo specialiai sukurtomis naudingosiomis apkrovomis.
Šis perėjimas būdingas ne tik „Andariel“. Pranešama, kad kitas Šiaurės Korėjos grėsmės veikėjas „Moonstone Sleet“, anksčiau siejamas su specialiai sukurta išpirkos reikalaujančia programine įranga „FakePenny“, atakavo Pietų Korėjos finansų įstaigas, naudodamas išpirkos reikalaujančią programinę įrangą „Qilin“. Apibendrinus šiuos pokyčius, galima teigti, kad Šiaurės Korėjos operatoriai vis dažniau veikia kaip filialai nusistovėjusiose RaaS ekosistemose, o ne palaiko visiškai patentuotas išpirkos reikalaujančių programų įrankių grandines.
Operacijų priemonių rinkinys, palaikantis „Medusa“ kampaniją
Su „Medusa“ susijusi veikla, priskiriama „Lazarus“, apima specialiai sukurtų kenkėjiškų programų ir viešai prieinamų kenkėjiškų programų derinį. Stebėti įrankiai apima:
- RP_Proxy – patentuota tarpinio serverio programa.
- „Mimikatz“ – įgaliojimų atėmimo įrankis, plačiai naudojamas po išnaudojimo veikloje.
- Comebacker, išskirtinis „Lazarus“ užpakalinės durys.
- „InfoHook“ – informacijos vagis, anksčiau susietas su „Comebacker“ diegimais.
Nors turto prievartavimo taktika primena ankstesnes Andarielio operacijas, dabartinė veikla nebuvo galutinai priskirta konkrečiam Lazarus pogrupiui.
Strateginės implikacijos: pragmatizmas, o ne nuosavybės teise pagrįsta plėtra
Išpirkos reikalaujančių programų variantų, tokių kaip „Medusa“ ir „Qilin“, diegimas atspindi operacinį pragmatizmą. Individualių išpirkos reikalaujančių programų šeimų kūrimas ir priežiūra reikalauja didelių išteklių, testavimo ir infrastruktūros. Naudojant nusistovėjusias „RaaS“ platformas, suteikiama tiesioginė prieiga prie brandžių šifravimo galimybių, operacinės pagalbos ir patikrintų pajamų gavimo mechanizmų. Partnerių mokesčių struktūros gali būti laikomos pagrįstu kompromisu, palyginti su kūrimo ir priežiūros išlaidomis.
Nuolatinis ir nevaržomas taikinys
Perėjimas prie standartinių išpirkos reikalaujančių programų dar labiau pabrėžia nuolatinį Šiaurės Korėjos dalyvavimą finansiškai motyvuotame kibernetiniame nusikalstamume. Taikinių atrankos modeliai rodo minimalų suvaržymą, o organizacijos Jungtinėse Valstijose, įskaitant sveikatos priežiūros įstaigas, patenka į taikymo sritį. Nors kai kurios nusikalstamos grupuotės viešai teigia vengiančios sveikatos priežiūros taikinių, siekdamos sumažinti reputacijos neigiamas pasekmes, su „Lazarus“ susijusiose operacijose panašių apribojimų neatrodo.
