Campanha de ataque de ransomware Medusa
O grupo de ameaças cibernéticas Lazarus Group, ligado à Coreia do Norte e também rastreado como Diamond Sleet e Pompilus, foi observado implantando o ransomware Medusa em um ataque contra uma organização não identificada no Oriente Médio. Pesquisadores de segurança também identificaram uma tentativa frustrada de intrusão pelos mesmos agentes contra uma organização de saúde nos Estados Unidos.
O Medusa opera sob um modelo de ransomware como serviço (RaaS) e foi lançado em 2023 por um grupo de cibercriminosos identificado como Spearwing. Desde seu surgimento, a operação reivindicou a responsabilidade por mais de 366 ataques. Uma análise do portal de vazamentos do Medusa indica que, a partir de novembro de 2025, quatro entidades de saúde e organizações sem fins lucrativos sediadas nos EUA foram listadas como vítimas. Entre elas, uma organização sem fins lucrativos de saúde mental e uma instituição educacional que atende crianças autistas. Ainda não está claro se todos os incidentes foram diretamente atribuídos a agentes norte-coreanos ou se outras afiliadas do Medusa foram responsáveis por algumas intrusões. Durante esse período, o valor médio do resgate exigido foi de aproximadamente US$ 260.000.
Índice
Um padrão de evolução do ransomware em operações norte-coreanas
O uso de ransomware por unidades cibernéticas norte-coreanas é bem documentado. Já em 2021, um subgrupo do Lazarus conhecido como Andariel (também chamado de Stonefly) realizou ataques na Coreia do Sul, Japão e Estados Unidos usando famílias de ransomware proprietárias, como SHATTEREDGLASS, Maui e H0lyGh0st.
Em outubro de 2024, o grupo foi associado à implantação do ransomware Play, sinalizando uma mudança estratégica em direção ao uso de ransomware disponível comercialmente, em vez de depender exclusivamente de payloads personalizados.
Essa transição não se restringe ao Andariel. Outro grupo de ameaças norte-coreano, o Moonstone Sleet, anteriormente associado ao ransomware personalizado FakePenny, teria atacado instituições financeiras sul-coreanas usando o ransomware Qilin. Em conjunto, esses desenvolvimentos sugerem um ajuste tático mais amplo, no qual os operadores norte-coreanos atuam cada vez mais como afiliados em ecossistemas de RaaS (Ranking como Serviço) já estabelecidos, em vez de manterem ferramentas de ransomware totalmente proprietárias.
Conjunto de ferramentas operacionais de apoio à campanha Medusa
A atividade relacionada à Medusa atribuída a Lazarus incorpora uma combinação de malware desenvolvido sob medida e utilitários ofensivos disponíveis publicamente. As ferramentas observadas incluem:
- RP_Proxy, um utilitário proxy proprietário.
- Mimikatz, uma ferramenta de extração de credenciais amplamente utilizada em atividades pós-exploração.
- Comebacker, um backdoor exclusivo do Lazarus.
- InfoHook, um ladrão de informações anteriormente associado a implantações do Comebacker.
Embora as táticas de extorsão se assemelhem a operações anteriores da Andariel, a atividade atual não foi atribuída conclusivamente a um subgrupo específico da Lazarus.
Implicações estratégicas: Pragmatismo em vez de desenvolvimento proprietário
A adoção de variantes de ransomware como Medusa e Qilin reflete pragmatismo operacional. O desenvolvimento e a manutenção de famílias de ransomware personalizadas exigem recursos, testes e infraestrutura substanciais. O aproveitamento de plataformas RaaS estabelecidas proporciona acesso imediato a recursos de criptografia maduros, suporte operacional e mecanismos de monetização comprovados. As estruturas de taxas de afiliados podem ser vistas como uma compensação razoável quando comparadas aos custos de desenvolvimento e manutenção.
Alvo persistente e irrestrito
A mudança para ransomware comercial reforça ainda mais o envolvimento contínuo da Coreia do Norte em crimes cibernéticos com motivação financeira. Os padrões de seleção de alvos indicam pouca contenção, com organizações nos Estados Unidos, incluindo entidades de saúde, sendo afetadas. Embora alguns grupos criminosos afirmem publicamente evitar alvos na área da saúde para mitigar danos à sua reputação, nenhuma limitação comparável parece evidente nas operações ligadas ao Lazarus.
