Vairāku licenču atlaides piedāvājums
Draudu datu bāze Advanced Persistent Threat (APT) Medusa izspiedējvīrusa uzbrukuma kampaņa

Medusa izspiedējvīrusa uzbrukuma kampaņa

Līdz Mezo. gadam Advanced Persistent Threat (APT), Ransomware. gadā
Tulkot uz:

Ar Ziemeļkoreju saistītais apdraudējumu izpildītājs, kas pazīstams kā Lazarus Group, kas tiek izsekots arī kā Diamond Sleet un Pompilus, ir novērots, izmantojot Medusa izspiedējvīrusu uzbrukumā nenosauktai organizācijai Tuvajos Austrumos. Drošības pētnieki arī identificēja neveiksmīgu ielaušanās mēģinājumu, ko veica tie paši dalībnieki, vēršoties pret veselības aprūpes organizāciju Amerikas Savienotajās Valstīs.

Medusa darbojas pēc izspiedējvīrusu pakalpojuma (RaaS) modeļa, un to 2023. gadā izveidoja kibernoziegumu grupa, kas identificēta kā Spearwing. Kopš tās parādīšanās šī operācija ir uzņēmusies atbildību par vairāk nekā 366 uzbrukumiem. Medusa nopludināšanas portāla pārskats liecina, ka, sākot ar 2025. gada novembri, upuru sarakstā bija iekļautas četras ASV bāzētas veselības aprūpes un bezpeļņas organizācijas. Starp tām bija garīgās veselības bezpeļņas organizācija un izglītības iestāde, kas apkalpo bērnus ar autismu. Joprojām nav skaidrs, vai visi incidenti tika tieši attiecināti uz Ziemeļkorejas aģentiem vai arī par dažiem ielaušanās gadījumiem bija atbildīgas citas Medusa filiāles. Šajā periodā vidējā izpirkuma maksas prasība bija aptuveni 260 000 USD.

Izspiedējvīrusu evolūcijas modelis Ziemeļkorejas operācijās

Ziemeļkorejas kibernoziegumu vienību izspiedējvīrusu izmantošana ir labi pazīstama. Jau 2021. gadā Lazarus apakšklasteris, kas pazīstams kā Andariel (saukts arī par Stonefly), veica uzbrukumus Dienvidkorejā, Japānā un Amerikas Savienotajās Valstīs, izmantojot patentētas izspiedējvīrusu saimes, piemēram, SHATTEREDGLASS, Maui un H0lyGh0st.

2024. gada oktobrī grupa tika saistīta ar Play izspiedējvīrusa izvietošanu, kas signalizēja par stratēģisku pāreju uz komerciāli pieejamas izspiedējvīrusa izmantošanas virzienā, nevis tikai uz pielāgotiem serveriem.

Šī pāreja nav raksturīga tikai Andariel. Tika ziņots, ka cits Ziemeļkorejas apdraudējuma izpildītājs Moonstone Sleet, kas iepriekš bija saistīts ar pielāgoto FakePenny izspiedējvīrusu, ir uzbrūkis Dienvidkorejas finanšu iestādēm, izmantojot Qilin izspiedējvīrusu. Kopumā šīs norises liecina par plašāku taktisku korekciju, kurā Ziemeļkorejas operatori arvien vairāk darbojas kā filiāles izveidotās RaaS ekosistēmās, nevis uztur pilnībā patentētas izspiedējvīrusu rīku ķēdes.

Operatīvo rīku komplekts Medusa kampaņas atbalstam

Ar Medusa saistītā darbība, kas piedēvēta Lazarus, ietver pielāgoti izstrādātas ļaunprogrammatūras un publiski pieejamu aizskarošu utilītu sajaukumu. Novērotie rīki ietver:

  • RP_Proxy, patentēta starpniekservera utilīta.
  • Mimikatz — akreditācijas datu dzēšanas rīks, ko plaši izmanto darbībās pēc ekspluatācijas.
  • Comebacker, ekskluzīvas Lazarus aizmugures durvis.
  • InfoHook, informācijas zaglis, kas iepriekš bija saistīts ar Comebacker izvietošanu.
  • BLINDINGCAN (pazīstams arī kā AIRDRY vai ZetaNile), attālās piekļuves Trojas zirgs.
  • ChromeStealer — utilīta, kas paredzēta saglabāto akreditācijas datu iegūšanai no Chrome pārlūkprogrammas.

Lai gan izspiešanas taktika atgādina agrākās Andarielas operācijas, pašreizējā aktivitāte nav pārliecinoši saistīta ar konkrētu Lazarus apakšgrupu.

Stratēģiskās sekas: pragmatisms pār patentētu attīstību

Izspiedējvīrusu variantu, piemēram, Medusa un Qilin, ieviešana atspoguļo operatīvo pragmatismu. Pielāgotu izspiedējvīrusu saimju izstrādei un uzturēšanai ir nepieciešami ievērojami resursi, testēšana un infrastruktūra. Izmantojot izveidotas RaaS platformas, tiek nodrošināta tūlītēja piekļuve nobriedušām šifrēšanas iespējām, operatīvajam atbalstam un pārbaudītiem monetizācijas mehānismiem. Filiāļu maksas struktūras var uzskatīt par saprātīgu kompromisu, salīdzinot ar izstrādes un uzturēšanas izmaksām.

Pastāvīga un neierobežota mērķēšana

Pāreja uz standarta izspiedējvīrusu programmu izmantošanu vēl vairāk uzsver Ziemeļkorejas pastāvīgo iesaistīšanos finansiāli motivētā kibernoziedzībā. Mērķu atlases modeļi liecina par minimālu atturību, un organizācijas Amerikas Savienotajās Valstīs, tostarp veselības aprūpes iestādes, ietilpst darbības jomā. Lai gan dažas noziedzīgas grupas publiski apgalvo, ka izvairās no veselības aprūpes mērķiem, lai mazinātu reputācijas negatīvo ietekmi, ar Lazarus saistītajās operācijās nav novērojami līdzīgi ierobežojumi.

Tendences

Medusa izspiedējvīrusa uzbrukuma kampaņa

Advanced Persistent Threat (APT), Ransomware
Ar Ziemeļkoreju saistītais apdraudējumu izpildītājs, kas pazīstams kā Lazarus Group, kas tiek izsekots arī kā Diamond Sleet un Pompilus, ir novērots, izmantojot Medusa izspiedējvīrusu uzbrukumā nenosauktai organizācijai Tuvajos Austrumos. Drošības pētnieki arī identificēja neveiksmīgu ielaušanās mēģinājumu, ko veica tie paši dalībnieki, vēršoties pret veselības aprūpes organizāciju Amerikas...

American Express — e-pasta krāpniecība, kas saistīta...

Pikšķerēšana, Mēstules
Mūsdienu digitālajā vidē ir svarīgi saglabāt modrību, strādājot ar negaidītiem e-pastiem. Kibernoziedznieki bieži vien izliekas par uzticamiem zīmoliem, lai maldinātu adresātus un panāktu sensitīvu informāciju. Tā sauktā American Express — konta piekļuves atjaunināšanas e-pasta krāpniecība ir viena no šādām pikšķerēšanas kampaņām. Šie e-pasti nav saistīti ar likumīgiem uzņēmumiem, organizācijām...

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
23,864
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...