Kempen Serangan Ransomware Medusa
Aktor ancaman yang berkaitan dengan Korea Utara yang dikenali sebagai Lazarus Group, juga dikesan sebagai Diamond Sleet dan Pompilus, telah diperhatikan menggunakan ransomware Medusa dalam serangan terhadap sebuah organisasi yang tidak dinamakan di Timur Tengah. Penyelidik keselamatan selanjutnya mengenal pasti percubaan pencerobohan yang tidak berjaya oleh pelakon yang sama yang menyasarkan sebuah organisasi penjagaan kesihatan di Amerika Syarikat.
Medusa beroperasi di bawah model ransomware-as-a-service (RaaS) dan dilancarkan pada tahun 2023 oleh kumpulan jenayah siber yang dikenal pasti sebagai Spearwing. Sejak kemunculannya, operasi ini telah mengaku bertanggungjawab atas lebih daripada 366 serangan. Semakan portal kebocoran Medusa menunjukkan bahawa, bermula pada November 2025, empat entiti penjagaan kesihatan dan bukan berasaskan keuntungan yang berpangkalan di AS telah disenaraikan sebagai mangsa. Ini termasuk sebuah badan bukan berasaskan keuntungan kesihatan mental dan sebuah institusi pendidikan yang berkhidmat untuk kanak-kanak autistik. Masih belum jelas sama ada semua insiden secara langsung dikaitkan dengan ejen Korea Utara atau sama ada sekutu Medusa yang lain bertanggungjawab atas beberapa pencerobohan. Dalam tempoh itu, purata permintaan wang tebusan adalah kira-kira $260,000.
Isi kandungan
Corak Evolusi Ransomware Dalam Operasi Korea Utara
Penggunaan ransomware oleh unit siber Korea Utara telah lama wujud. Seawal tahun 2021, sub-kluster Lazarus yang dikenali sebagai Andariel (juga dirujuk sebagai Stonefly) telah menjalankan serangan di seluruh Korea Selatan, Jepun dan Amerika Syarikat menggunakan keluarga ransomware proprietari seperti SHATTEREDGLASS, Maui dan H0lyGh0st.
Pada Oktober 2024, kumpulan itu dikaitkan dengan penggunaan ransomware Play, menandakan satu pangsi strategik ke arah penggunaan ransomware yang tersedia secara komersial dan bukannya bergantung sepenuhnya pada muatan yang dibina khas.
Peralihan ini tidak terpencil kepada Andariel. Seorang lagi pelaku ancaman Korea Utara, Moonstone Sleet, yang sebelum ini dikaitkan dengan ransomware FakePenny tersuai, dilaporkan telah menyasarkan institusi kewangan Korea Selatan menggunakan ransomware Qilin. Secara kolektif, perkembangan ini mencadangkan pelarasan taktikal yang lebih luas di mana pengendali Korea Utara semakin berfungsi sebagai sekutu dalam ekosistem RaaS yang mantap dan bukannya mengekalkan rantaian alat ransomware proprietari sepenuhnya.
Set Peralatan Operasi yang Menyokong Kempen Medusa
Aktiviti berkaitan Medusa yang dikaitkan dengan Lazarus menggabungkan gabungan perisian hasad yang dibangunkan khas dan utiliti ofensif yang tersedia secara umum. Peralatan yang diperhatikan termasuk:
- RP_Proxy, utiliti proksi proprietari.
- Mimikatz, alat pelupusan tauliah yang digunakan secara meluas dalam aktiviti pasca eksploitasi.
- Comebacker, pintu belakang eksklusif Lazarus.
- InfoHook, pencuri maklumat yang sebelum ini dikaitkan dengan penggunaan Comebacker.
- BLINDINGCAN (juga dikenali sebagai AIRDRY atau ZetaNile), sejenis trojan akses jauh.
- ChromeStealer, utiliti yang direka untuk mengekstrak kelayakan yang disimpan daripada pelayar Chrome.
Walaupun taktik pemerasan itu menyerupai operasi Andariel yang terdahulu, aktiviti semasa belum dapat dikaitkan secara muktamad dengan subkumpulan Lazarus tertentu.
Implikasi Strategik: Pragmatisme Berbanding Pembangunan Hak Milik
Penerimaan varian ransomware seperti Medusa dan Qilin mencerminkan pragmatisme operasi. Membangunkan dan menyelenggara keluarga ransomware tersuai memerlukan sumber, pengujian dan infrastruktur yang besar. Memanfaatkan platform RaaS yang mantap menyediakan akses segera kepada keupayaan penyulitan matang, sokongan operasi dan mekanisme pengewangan yang terbukti. Struktur yuran afiliasi boleh dilihat sebagai pertukaran yang munasabah apabila ditimbang dengan kos pembangunan dan penyelenggaraan.
Sasaran Berterusan dan Tidak Terkawal
Peralihan ke arah ransomware sedia ada terus menggariskan penglibatan berterusan Korea Utara dalam jenayah siber yang bermotifkan kewangan. Corak pemilihan sasaran menunjukkan kekangan yang minimum, dengan organisasi di Amerika Syarikat, termasuk entiti penjagaan kesihatan, berada dalam skop. Walaupun sesetengah kumpulan jenayah secara terbuka mendakwa untuk mengelakkan sasaran penjagaan kesihatan bagi mengurangkan kejatuhan reputasi, tiada batasan yang setanding kelihatan jelas dalam operasi yang berkaitan dengan Lazarus.
