Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Amenințare persistentă avansată (APT) Campania de atac ransomware Medusa

Campania de atac ransomware Medusa

Până în Mezo în Amenințare persistentă avansată (APT), Ransomware
Tradu in:

Actorul hacker legat de Coreea de Nord, cunoscut sub numele de Lazarus Group, urmărit și sub numele de Diamond Sleet și Pompilus, a fost observat utilizând ransomware-ul Medusa într-un atac împotriva unei organizații anonime din Orientul Mijlociu. Cercetătorii în domeniul securității au identificat, de asemenea, o tentativă de intruziune nereușită a acelorași actori care a vizat o organizație medicală din Statele Unite.

Medusa operează sub un model de ransomware-as-a-service (RaaS) și a fost lansată în 2023 de un grup de infracțiuni cibernetice identificat sub numele de Spearwing. De la apariția sa, operațiunea a revendicat responsabilitatea pentru peste 366 de atacuri. O analiză a portalului Medusa indică faptul că, începând cu noiembrie 2025, patru entități medicale și non-profit din SUA au fost listate ca victime. Printre acestea s-au numărat o organizație non-profit din domeniul sănătății mintale și o instituție de învățământ care deservește copii autiști. Rămâne neclar dacă toate incidentele au fost atribuite direct agenților nord-coreeni sau dacă alte filiale Medusa au fost responsabile pentru unele intruziuni. În această perioadă, cererea medie de răscumpărare a fost de aproximativ 260.000 de dolari.

Un model de evoluție a ransomware-ului în cadrul operațiunilor nord-coreene

Utilizarea ransomware de către unitățile cibernetice nord-coreene este bine stabilită. Încă din 2021, un subcluster Lazarus cunoscut sub numele de Andariel (denumit și Stonefly) a efectuat atacuri în Coreea de Sud, Japonia și Statele Unite folosind familii de ransomware proprietare precum SHATTEREDGLASS, Maui și H0lyGh0st.

În octombrie 2024, grupul a fost asociat cu o implementare a ransomware-ului Play, semnalând o schimbare strategică către utilizarea ransomware-ului disponibil comercial, în loc să se bazeze exclusiv pe sarcini utile personalizate.

Această tranziție nu este specifică doar Andariel. Un alt actor nord-coreean, Moonstone Sleet, asociat anterior cu ransomware-ul personalizat FakePenny, ar fi vizat instituțiile financiare sud-coreene folosind ransomware-ul Qilin. Împreună, aceste evoluții sugerează o ajustare tactică mai amplă, în care operatorii nord-coreeni funcționează din ce în ce mai mult ca afiliați în cadrul unor ecosisteme RaaS consacrate, în loc să mențină lanțuri de instrumente ransomware complet proprietare.

Set de instrumente operaționale care sprijină campania Medusa

Activitatea legată de Medusa atribuită lui Lazarus încorporează o combinație de programe malware dezvoltate special și utilitare ofensive disponibile publicului. Instrumentele observate includ:

  • RP_Proxy, un utilitar proxy proprietar.
  • Mimikatz, un instrument de colectare a acreditărilor utilizat pe scară largă în activitatea post-exploatare.
  • Comebacker, o ușă din spate exclusivă pentru Lazăr.
  • InfoHook, un furt de informații asociat anterior cu implementările Comebacker.
  • BLINDINGCAN (cunoscut și sub numele de AIRDRY sau ZetaNile), un troian de acces la distanță.
  • ChromeStealer, un utilitar conceput pentru a extrage acreditările salvate din browserul Chrome.

Deși tacticile de extorcare seamănă cu operațiunile Andariel anterioare, activitatea actuală nu a fost atribuită în mod concludent unui subgrup specific al lui Lazarus.

Implicații strategice: pragmatismul în detrimentul dezvoltării proprietare

Adoptarea variantelor de ransomware precum Medusa și Qilin reflectă pragmatismul operațional. Dezvoltarea și întreținerea familiilor personalizate de ransomware necesită resurse substanțiale, teste și infrastructură. Valorificarea platformelor RaaS consacrate oferă acces imediat la capacități de criptare mature, suport operațional și mecanisme de monetizare dovedite. Structurile taxelor de afiliere pot fi considerate un compromis rezonabil atunci când sunt puse în balanță cu costurile de dezvoltare și întreținere.

Direcționare persistentă și nelimitată

Trecerea către ransomware standard subliniază și mai mult implicarea susținută a Coreei de Nord în criminalitatea cibernetică motivată financiar. Modelele de selecție a țintelor indică o reținere minimă, organizațiile din Statele Unite, inclusiv unitățile din domeniul sănătății, intrând în sfera de aplicare. În timp ce unele grupuri criminale susțin public că evită țintele din domeniul sănătății pentru a atenua consecințele negative asupra reputației, nicio limitare comparabilă nu pare evidentă în operațiunile legate de Lazarus.

Trending

Campania de atac ransomware Medusa

Amenințare persistentă avansată (APT), Ransomware
Actorul hacker legat de Coreea de Nord, cunoscut sub numele de Lazarus Group, urmărit și sub numele de Diamond Sleet și Pompilus, a fost observat utilizând ransomware-ul Medusa într-un atac împotriva unei organizații anonime din Orientul Mijlociu. Cercetătorii în domeniul securității au identificat, de asemenea, o tentativă de intruziune nereușită a acelorași actori care a vizat o organizație...

Cele mai văzute

Se încarcă...