Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Geavanceerde aanhoudende dreiging (APT) Medusa ransomware-aanvalcampagne

Medusa ransomware-aanvalcampagne

Tegen Mezo in Geavanceerde aanhoudende dreiging (APT), Ransomware
Vertalen naar:

De aan Noord-Korea gelieerde cybercrimineel Lazarus Group, ook bekend onder de namen Diamond Sleet en Pompilus, heeft de Medusa-ransomware ingezet bij een aanval op een niet nader genoemde organisatie in het Midden-Oosten. Beveiligingsonderzoekers hebben tevens een mislukte inbraakpoging van dezelfde groepering vastgesteld, gericht op een zorginstelling in de Verenigde Staten.

Medusa opereert volgens een ransomware-as-a-service (RaaS)-model en werd in 2023 gelanceerd door een cybercriminele groep die bekendstaat als Spearwing. Sinds de oprichting heeft de organisatie de verantwoordelijkheid opgeëist voor meer dan 366 aanvallen. Uit onderzoek van het Medusa-lekportaal blijkt dat vanaf november 2025 vier Amerikaanse zorginstellingen en non-profitorganisaties als slachtoffers werden geregistreerd. Het ging onder meer om een non-profitorganisatie voor geestelijke gezondheidszorg en een onderwijsinstelling voor autistische kinderen. Het is onduidelijk of alle incidenten direct aan Noord-Koreaanse agenten werden toegeschreven of dat andere Medusa-groepen verantwoordelijk waren voor sommige aanvallen. Gedurende die periode bedroeg de gemiddelde losgeldeis ongeveer $ 260.000.

Een patroon in de evolutie van ransomware binnen Noord-Koreaanse operaties

Het gebruik van ransomware door Noord-Koreaanse cybereenheden is algemeen bekend. Al in 2021 voerde een subcluster van Lazarus, bekend als Andariel (ook wel Stonefly genoemd), aanvallen uit in Zuid-Korea, Japan en de Verenigde Staten met behulp van eigen ransomwarefamilies zoals SHATTEREDGLASS, Maui en H0lyGh0st.

In oktober 2024 werd de groep in verband gebracht met de inzet van Play-ransomware, wat duidde op een strategische verschuiving naar het gebruik van commercieel verkrijgbare ransomware in plaats van uitsluitend te vertrouwen op zelfontwikkelde payloads.

Deze verschuiving is niet beperkt tot Andariel. Een andere Noord-Koreaanse cybercrimineel, Moonstone Sleet, die eerder in verband werd gebracht met de op maat gemaakte FakePenny-ransomware, zou Zuid-Koreaanse financiële instellingen hebben aangevallen met behulp van Qilin-ransomware. Gezamenlijk duiden deze ontwikkelingen op een bredere tactische aanpassing waarbij Noord-Koreaanse actoren steeds vaker functioneren als partners binnen bestaande RaaS-ecosystemen in plaats van volledig eigen ransomware-toolchains te onderhouden.

Operationele instrumenten ter ondersteuning van de Medusa-campagne

De Medusa-gerelateerde activiteiten die aan Lazarus worden toegeschreven, omvatten een mix van zelfontwikkelde malware en openbaar beschikbare aanvalssystemen. De waargenomen tools omvatten:

  • RP_Proxy, een propriëtair proxyprogramma.
  • Mimikatz, een tool voor het dumpen van inloggegevens die veelvuldig wordt gebruikt bij activiteiten na een cyberaanval.
  • Comebacker, een exclusieve Lazarus-achterdeur.
  • InfoHook, een informatiediefstalprogramma dat eerder in verband werd gebracht met Comebacker-implementaties.
  • BLINDINGCAN (ook bekend als AIRDRY of ZetaNile), een trojan voor toegang op afstand.
  • ChromeStealer is een hulpprogramma dat is ontworpen om opgeslagen inloggegevens uit de Chrome-browser te halen.

Hoewel de afpersingstactieken lijken op eerdere operaties van Andariel, is de huidige activiteit nog niet definitief toe te schrijven aan een specifieke subgroep van Lazarus.

Strategische implicaties: pragmatisme boven eigen ontwikkeling

De keuze voor ransomwarevarianten zoals Medusa en Qilin weerspiegelt operationele pragmatisme. Het ontwikkelen en onderhouden van aangepaste ransomwarefamilies vereist aanzienlijke middelen, testen en infrastructuur. Door gebruik te maken van gevestigde RaaS-platforms (Ransomware as a Service) krijgt men direct toegang tot volwaardige encryptiemogelijkheden, operationele ondersteuning en bewezen verdienmodellen. De kostenstructuur voor partners kan worden gezien als een redelijke afweging ten opzichte van de ontwikkelings- en onderhoudskosten.

Aanhoudende en onbeperkte targeting

De verschuiving naar standaard ransomware onderstreept eens te meer de aanhoudende betrokkenheid van Noord-Korea bij financieel gemotiveerde cybercriminaliteit. De selectiepatronen van doelwitten wijzen op minimale terughoudendheid, waarbij organisaties in de Verenigde Staten, waaronder zorginstellingen, binnen het bereik van de aanvallen vallen. Hoewel sommige criminele groeperingen publiekelijk beweren zorginstellingen te mijden om reputatieschade te beperken, lijkt een dergelijke beperking niet aanwezig te zijn bij de aan Lazarus gelinkte operaties.

Trending

Medusa ransomware-aanvalcampagne

Geavanceerde aanhoudende dreiging (APT), Ransomware
De aan Noord-Korea gelieerde cybercrimineel Lazarus Group, ook bekend onder de namen Diamond Sleet en Pompilus, heeft de Medusa-ransomware ingezet bij een aanval op een niet nader genoemde organisatie in het Midden-Oosten. Beveiligingsonderzoekers hebben tevens een mislukte inbraakpoging van dezelfde groepering vastgesteld, gericht op een zorginstelling in de Verenigde Staten. Medusa opereert...

Meest bekeken

Bezig met laden...