Oferta rabatowa na wiele licencji
Baza danych zagrożeń Zaawansowane trwałe zagrożenie (APT) Kampania ataku ransomware Medusa

Kampania ataku ransomware Medusa

Do Mezo w Zaawansowane trwałe zagrożenie (APT), Oprogramowanie wymuszające okup
Przetłumacz na:

Powiązany z Koreą Północną aktor cyberprzestępczy znany jako Lazarus Group, śledzony również jako Diamond Sleet i Pompilus, został zauważony w ataku na nieznaną organizację na Bliskim Wschodzie, w którym wdrożył ransomware Medusa. Badacze bezpieczeństwa zidentyfikowali również nieudaną próbę włamania, której celem była organizacja opieki zdrowotnej w Stanach Zjednoczonych.

Medusa działa w modelu ransomware-as-a-service (RaaS) i została uruchomiona w 2023 roku przez grupę cyberprzestępczą zidentyfikowaną jako Spearwing. Od momentu powstania, operacja przyznała się do ponad 366 ataków. Analiza portalu Medusa Leaks wskazuje, że od listopada 2025 roku cztery amerykańskie organizacje non-profit i organizacje opieki zdrowotnej zostały wymienione jako ofiary. Wśród nich znalazła się organizacja non-profit zajmująca się zdrowiem psychicznym oraz instytucja edukacyjna dla dzieci autystycznych. Nie jest jasne, czy wszystkie incydenty były bezpośrednio przypisywane północnokoreańskim agentom, czy też za niektóre włamania odpowiadały inne podmioty powiązane z Medusą. W tym okresie średnie żądanie okupu wynosiło około 260 000 dolarów.

Schemat ewolucji oprogramowania ransomware w operacjach Korei Północnej

Wykorzystanie ransomware przez północnokoreańskie jednostki cybernetyczne jest powszechnie znane. Już w 2021 roku podklast Lazarus znany jako Andariel (znany również jako Stonefly) przeprowadził ataki w Korei Południowej, Japonii i Stanach Zjednoczonych, wykorzystując zastrzeżone rodziny ransomware, takie jak SHATTEREDGLASS, Maui i H0lyGh0st.

W październiku 2024 r. grupa została powiązana z wdrożeniem ransomware w Play, co wskazuje na strategiczną zmianę w kierunku wykorzystywania komercyjnie dostępnego ransomware, zamiast wyłącznego polegania na niestandardowych ładunkach.

Ta zmiana nie dotyczy tylko Andariel. Inny północnokoreański cyberprzestępca, Moonstone Sleet, wcześniej powiązany ze specjalnie opracowanym ransomware FakePenny, miał atakować południowokoreańskie instytucje finansowe za pomocą ransomware Qilin. Podsumowując, te wydarzenia sugerują szerszą korektę taktyczną, w ramach której północnokoreańscy operatorzy coraz częściej działają jako partnerzy w ramach ugruntowanych ekosystemów RaaS, zamiast utrzymywać w pełni zastrzeżone łańcuchy narzędzi ransomware.

Zestaw narzędzi operacyjnych wspierających kampanię Medusa

Aktywność związana z Medusą, przypisywana Lazarusowi, obejmuje połączenie specjalnie opracowanego złośliwego oprogramowania i publicznie dostępnych narzędzi ofensywnych. Zaobserwowane narzędzia obejmują:

  • RP_Proxy, zastrzeżone narzędzie proxy.
  • Mimikatz, narzędzie do zbierania danych uwierzytelniających, powszechnie stosowane w działaniach podejmowanych po wykorzystaniu danych.
  • Comebacker, backdoor dostępny wyłącznie dla Lazarusa.
  • InfoHook, program kradnący informacje, wcześniej powiązany z wdrożeniami Comebacker.
  • BLINDINGCAN (znany również jako AIRDRY lub ZetaNile), trojan umożliwiający zdalny dostęp.
  • ChromeStealer, narzędzie służące do wyodrębniania zapisanych danych logowania z przeglądarki Chrome.

Mimo że taktyka wymuszeń przypomina wcześniejsze operacje Andariel, obecnej działalności nie udało się jednoznacznie przypisać żadnej konkretnej podgrupie Lazarus.

Implikacje strategiczne: pragmatyzm ponad rozwojem własnościowym

Wprowadzenie wariantów ransomware, takich jak Medusa i Qilin, odzwierciedla pragmatyzm operacyjny. Tworzenie i utrzymywanie niestandardowych rodzin ransomware wymaga znacznych zasobów, testów i infrastruktury. Wykorzystanie uznanych platform RaaS zapewnia natychmiastowy dostęp do zaawansowanych funkcji szyfrowania, wsparcia operacyjnego i sprawdzonych mechanizmów monetyzacji. Struktury opłat partnerskich można uznać za rozsądny kompromis w porównaniu z kosztami rozwoju i utrzymania.

Uporczywe i nieograniczone celowanie

Przejście na gotowe oprogramowanie ransomware dodatkowo podkreśla stałe zaangażowanie Korei Północnej w cyberprzestępczość motywowaną finansowo. Wzorce wyboru celów wskazują na minimalną powściągliwość, a organizacje w Stanach Zjednoczonych, w tym placówki opieki zdrowotnej, również znajdują się w tym zakresie. Chociaż niektóre grupy przestępcze publicznie deklarują unikanie celów w sektorze opieki zdrowotnej, aby zminimalizować negatywne skutki dla reputacji, w operacjach powiązanych z Lazarusem nie widać porównywalnych ograniczeń.

Popularne

Kampania ataku ransomware Medusa

Zaawansowane trwałe zagrożenie (APT), Oprogramowanie wymuszające okup
Powiązany z Koreą Północną aktor cyberprzestępczy znany jako Lazarus Group, śledzony również jako Diamond Sleet i Pompilus, został zauważony w ataku na nieznaną organizację na Bliskim Wschodzie, w którym wdrożył ransomware Medusa. Badacze bezpieczeństwa zidentyfikowali również nieudaną próbę włamania, której celem była organizacja opieki zdrowotnej w Stanach Zjednoczonych. Medusa działa w...

American Express - Oszustwo e-mailowe z prośbą o...

Phishing, Spam
W dzisiejszym środowisku cyfrowym zachowanie czujności w przypadku nieoczekiwanych wiadomości e-mail jest niezbędne. Cyberprzestępcy często podszywają się pod zaufane marki, aby nakłonić odbiorców do ujawnienia poufnych informacji. Tak zwany „American Express – Account Access Update Needed Email Scam” to jedna z takich kampanii phishingowych. Te wiadomości e-mail nie są powiązane z żadnymi...

Najczęściej oglądane

Ładowanie...