मेडुसा र्यान्समवेयर आक्रमण अभियान
उत्तर कोरियासँग सम्बन्धित खतरा अभिनेता लाजरस ग्रुपको रूपमा चिनिन्छ, जसलाई डायमंड स्लीट र पोम्पिलसको रूपमा पनि ट्र्याक गरिएको छ, मध्य पूर्वमा एक अज्ञात संस्था विरुद्ध आक्रमणमा मेडुसा र्यान्समवेयर प्रयोग गरेको देखिएको छ। सुरक्षा अनुसन्धानकर्ताहरूले संयुक्त राज्य अमेरिकामा स्वास्थ्य सेवा संस्थालाई लक्षित गर्दै उही अभिनेताहरूले गरेको असफल घुसपैठ प्रयासलाई थप पहिचान गरे।
मेडुसाले र्यान्समवेयर-एज-ए-सर्भिस (RaaS) मोडेल अन्तर्गत काम गर्छ र २०२३ मा स्पियरविङ भनेर चिनिने साइबर अपराध समूहद्वारा सुरु गरिएको थियो। यसको उदय भएदेखि, यो अपरेशनले ३६६ भन्दा बढी आक्रमणहरूको जिम्मेवारी लिएको छ। मेडुसा चुहावट पोर्टलको समीक्षाले संकेत गर्छ कि नोभेम्बर २०२५ देखि सुरु भएको चार अमेरिकी स्वास्थ्य सेवा र गैर-नाफामुखी संस्थाहरूलाई पीडितको रूपमा सूचीबद्ध गरिएको थियो। यसमा एक मानसिक स्वास्थ्य गैर-नाफामुखी संस्था र अटिस्टिक बालबालिकाहरूको सेवा गर्ने शैक्षिक संस्था समावेश थियो। यो स्पष्ट छैन कि सबै घटनाहरू उत्तर कोरियाली अपरेटरहरूलाई प्रत्यक्ष रूपमा जिम्मेवार ठहराइएको थियो वा अन्य मेडुसा सम्बद्धहरू केही घुसपैठका लागि जिम्मेवार थिए। त्यो अवधिमा, औसत फिरौतीको माग लगभग $२६०,००० थियो।
सामग्रीको तालिका
उत्तर कोरियाली सञ्चालन भित्र र्यान्समवेयर विकासको ढाँचा
उत्तर कोरियाली साइबर एकाइहरूद्वारा र्यान्समवेयरको प्रयोग राम्रोसँग स्थापित छ। २०२१ को सुरुमा, एन्डारिएल (स्टोनफ्लाइ पनि भनिन्छ) भनेर चिनिने लाजरस उप-क्लस्टरले SHATTEREDGLASS, Maui, र H0lyGh0st जस्ता स्वामित्वको र्यान्समवेयर परिवारहरू प्रयोग गरेर दक्षिण कोरिया, जापान र संयुक्त राज्य अमेरिकाभरि आक्रमणहरू गरेको थियो।
अक्टोबर २०२४ मा, समूहलाई प्ले र्यान्समवेयरको तैनाथीमा जोडिएको थियो, जसले विशेष रूपमा अनुकूलित पेलोडहरूमा भर पर्नुको सट्टा व्यावसायिक रूपमा उपलब्ध र्यान्समवेयरको प्रयोगतर्फ रणनीतिक धुरीको संकेत गर्दछ।
यो संक्रमण एन्डारिएलमा मात्र सीमित छैन। अर्को उत्तर कोरियाली खतरा अभिनेता, मुनस्टोन स्लीट, जो पहिले कस्टम फेकपेनी र्यान्समवेयरसँग सम्बन्धित थिए, ले किलिन र्यान्समवेयर प्रयोग गरेर दक्षिण कोरियाली वित्तीय संस्थाहरूलाई लक्षित गरेको रिपोर्ट गरिएको थियो। सामूहिक रूपमा, यी विकासहरूले एक व्यापक रणनीतिक समायोजनको सुझाव दिन्छ जसमा उत्तर कोरियाली अपरेटरहरूले पूर्ण स्वामित्वको र्यान्समवेयर टूलचेनहरू कायम राख्नुको सट्टा स्थापित RaaS इकोसिस्टम भित्र सम्बद्धहरूको रूपमा बढ्दो रूपमा काम गर्छन्।
मेडुसा अभियानलाई समर्थन गर्ने अपरेशनल टूलसेट
लाजरसलाई दिइएको मेडुसा-सम्बन्धित गतिविधिमा अनुकूलित-विकसित मालवेयर र सार्वजनिक रूपमा उपलब्ध आपत्तिजनक उपयोगिताहरूको मिश्रण समावेश छ। अवलोकन गरिएको उपकरणहरूमा समावेश छन्:
- RP_Proxy, एक स्वामित्व प्रोक्सी उपयोगिता।
- मिमिकाट्ज, शोषण पछिको गतिविधिमा व्यापक रूपमा प्रयोग हुने प्रमाणपत्र-डम्पिङ उपकरण।
- कमब्याकर, एक लाजरस-विशेष ब्याकडोर।
- इन्फोहुक, पहिले कमब्याकर डिप्लोयमेन्टसँग जोडिएको जानकारी चोर।
यद्यपि जबरजस्ती असुलीका रणनीतिहरू पहिलेका एन्डारियल अपरेशनहरूसँग मिल्दोजुल्दो छन्, हालको गतिविधि निर्णायक रूपमा कुनै विशेष लाजरस उप-समूहलाई श्रेय दिइएको छैन।
रणनीतिक निहितार्थ: स्वामित्व विकासमाथि व्यावहारिकता
मेडुसा र किलिन जस्ता रैन्समवेयर भेरियन्टहरूको अपनाउने कार्यले परिचालन व्यावहारिकतालाई प्रतिबिम्बित गर्दछ। अनुकूलन रैन्समवेयर परिवारहरूको विकास र मर्मत गर्न पर्याप्त स्रोतहरू, परीक्षण र पूर्वाधार आवश्यक पर्दछ। स्थापित RaaS प्लेटफर्महरूको लाभ उठाउनाले परिपक्व इन्क्रिप्शन क्षमताहरू, परिचालन समर्थन, र प्रमाणित मुद्रीकरण संयन्त्रहरूमा तत्काल पहुँच प्रदान गर्दछ। विकास र मर्मत लागतको तुलनामा तौल गर्दा सम्बद्ध शुल्क संरचनाहरूलाई उचित व्यापार-अफको रूपमा हेर्न सकिन्छ।
निरन्तर र अनियन्त्रित लक्ष्यीकरण
अफ-द-शेल्फ रैन्समवेयर तर्फको परिवर्तनले आर्थिक रूपमा प्रेरित साइबर अपराधमा उत्तर कोरियाको निरन्तर संलग्नतालाई अझ जोड दिन्छ। लक्ष्य छनोट ढाँचाहरूले न्यूनतम संयमलाई संकेत गर्दछ, संयुक्त राज्य अमेरिकाका स्वास्थ्य सेवा संस्थाहरू सहितका संस्थाहरू दायरा भित्र पर्छन्। केही आपराधिक समूहहरूले सार्वजनिक रूपमा प्रतिष्ठाको नतिजा कम गर्न स्वास्थ्य सेवा लक्ष्यहरूबाट बच्ने दाबी गरे पनि, लाजरस-सम्बन्धित सञ्चालनहरूमा कुनै तुलनात्मक सीमा स्पष्ट देखिँदैन।
