Кампания по атакам программы-вымогателя Medusa
Известная как Lazarus Group, также отслеживаемая под названиями Diamond Sleet и Pompilus, связанная с Северной Кореей группа злоумышленников использовала программу-вымогатель Medusa в атаке на неназванную организацию на Ближнем Востоке. Исследователи в области безопасности также выявили неудачную попытку вторжения со стороны тех же злоумышленников в медицинскую организацию в США.
Medusa работает по модели «программа-вымогатель как услуга» (RaaS) и была запущена в 2023 году киберпреступной группой, известной как Spearwing. С момента своего появления эта операция взяла на себя ответственность за более чем 366 атак. Анализ портала утечек Medusa показывает, что начиная с ноября 2025 года, жертвами были указаны четыре американские организации здравоохранения и некоммерческие организации. Среди них — некоммерческая организация, занимающаяся психическим здоровьем, и образовательное учреждение, работающее с детьми-аутистами. Остается неясным, были ли все инциденты напрямую связаны с северокорейскими агентами или же за некоторые вторжения были ответственны другие филиалы Medusa. В течение этого периода средняя сумма выкупа составляла приблизительно 260 000 долларов.
Оглавление
Эволюция программ-вымогателей в рамках операций Северной Кореи.
Использование программ-вымогателей северокорейскими киберподразделениями хорошо известно. Еще в 2021 году подгруппа Lazarus, известная как Andariel (также называемая Stonefly), проводила атаки в Южной Корее, Японии и США, используя собственные семейства программ-вымогателей, такие как SHATTEREDGLASS, Maui и H0lyGh0st.
В октябре 2024 года группа была связана с распространением программы-вымогателя Play, что свидетельствовало о стратегическом повороте в сторону использования коммерчески доступных программ-вымогателей вместо исключительного использования специально разработанных вредоносных программ.
Этот переход касается не только Andariel. Другой северокорейский киберпреступник, Moonstone Sleet, ранее связанный с разработанным им самим вирусом-вымогателем FakePenny, как сообщается, атаковал южнокорейские финансовые учреждения, используя вирус-вымогатель Qilin. В совокупности эти события указывают на более широкую тактическую перестройку, в рамках которой северокорейские операторы все чаще действуют как филиалы в существующих экосистемах RaaS, вместо того чтобы поддерживать полностью собственные цепочки инструментов для создания вирусов-вымогателей.
Оперативный инструментарий для поддержки кампании «Медуза»
Активность, связанная с Medusa и приписываемая Lazarus, представляет собой сочетание специально разработанного вредоносного ПО и общедоступных утилит для проведения атак. Среди обнаруженных инструментов:
- RP_Proxy — это проприетарная утилита для работы с прокси-серверами.
- Mimikatz — инструмент для извлечения учетных данных, широко используемый в постэксплуатационных операциях.
- Comebacker, эксклюзивный бэкдор для Lazarus.
- InfoHook — программа для кражи информации, ранее связанная с развертыванием Comebacker.
- BLINDINGCAN (также известный как AIRDRY или ZetaNile) — троянская программа удаленного доступа.
- ChromeStealer — утилита, предназначенная для извлечения сохраненных учетных данных из браузера Chrome.
Хотя тактика вымогательства напоминает более ранние операции Андариэля, текущая деятельность пока не может быть однозначно отнесена к какой-либо конкретной подгруппе Лазаря.
Стратегические последствия: прагматизм важнее разработки собственных решений.
Распространение вариантов программ-вымогателей, таких как Medusa и Qilin, отражает прагматичный подход к операционной деятельности. Разработка и поддержка собственных семейств программ-вымогателей требуют значительных ресурсов, тестирования и инфраструктуры. Использование существующих платформ RaaS обеспечивает немедленный доступ к зрелым возможностям шифрования, оперативной поддержке и проверенным механизмам монетизации. Партнерские программы могут рассматриваться как разумный компромисс, если учитывать затраты на разработку и обслуживание.
Настойчивое и неограниченное прицеливание
Переход к использованию готовых программ-вымогателей еще раз подчеркивает устойчивое участие Северной Кореи в киберпреступлениях, мотивированных исключительно финансовой выгодой. Выбор целей свидетельствует о минимальной сдержанности: в число целей попадают организации в США, включая медицинские учреждения. Хотя некоторые преступные группировки публично заявляют о стремлении избегать медицинских учреждений, чтобы смягчить репутационные последствия, в операциях, связанных с программой Lazarus, подобных ограничений не наблюдается.
