Multilicenčná zľavová ponuka
Databáza hrozieb Pokročilá perzistentná hrozba (APT) Útok ransomvéru Medusa

Útok ransomvéru Medusa

Do roku Mezo v roku Pokročilá perzistentná hrozba (APT), Ransomware
Preložiť do:

So Severnou Kóreou prepojená skupina kybernetických hackerov známa ako Lazarus Group, sledovaná aj ako Diamond Sleet a Pompilus, bola pozorovaná pri útoku na nemenovanú organizáciu na Blízkom východe s použitím ransomvéru Medusa. Bezpečnostní experti ďalej identifikovali neúspešný pokus tých istých aktérov o prienik, ktorý sa zameral na zdravotnícku organizáciu v Spojených štátoch.

Medusa funguje na modeli ransomware-as-a-service (RaaS) a bola spustená v roku 2023 kyberzločinnou skupinou s názvom Spearwing. Od svojho vzniku sa táto operácia prihlásila k zodpovednosti za viac ako 366 útokov. Preskúmanie portálu Medusa s únikmi informácií naznačuje, že od novembra 2025 boli ako obete uvedené štyri subjekty v oblasti zdravotníctva a neziskové organizácie so sídlom v USA. Medzi ne patrila nezisková organizácia zaoberajúca sa duševným zdravím a vzdelávacia inštitúcia poskytujúca služby autistickým deťom. Zostáva nejasné, či všetky incidenty boli priamo pripísané severokórejským agentom, alebo či za niektoré prieniky boli zodpovedné iné pobočky Medusy. Počas tohto obdobia sa priemerná výška požadovaného výkupného pohybovala na úrovni približne 260 000 dolárov.

Vzorec vývoja ransomvéru v rámci severokórejských operácií

Používanie ransomvéru severokórejskými kybernetickými jednotkami je dobre známe. Už v roku 2021 podklaster Lazarus známy ako Andariel (tiež označovaný ako Stonefly) vykonal útoky v Južnej Kórei, Japonsku a Spojených štátoch pomocou proprietárnych rodín ransomvéru, ako sú SHATTEREDGLASS, Maui a H0lyGh0st.

V októbri 2024 bola skupina spojená s nasadením ransomvéru Play, čo signalizovalo strategický prechod smerom k používaniu komerčne dostupného ransomvéru namiesto výhradného spoliehania sa na špeciálne vytvorené užitočné dáta.

Tento prechod sa netýka len spoločnosti Andariel. Ďalší severokórejský aktér hrozby, Moonstone Sleet, predtým spájaný s vlastným ransomvérom FakePenny, údajne zacielil na juhokórejské finančné inštitúcie pomocou ransomvéru Qilin. Tento vývoj spoločne naznačuje širšiu taktickú úpravu, v ktorej severokórejskí operátori čoraz viac fungujú ako pridružené spoločnosti v rámci zavedených ekosystémov RaaS namiesto toho, aby si udržiavali úplne proprietárne reťazce nástrojov pre ransomvér.

Operačná sada nástrojov podporujúca kampaň Medúza

Aktivita súvisiaca s Medusou, ktorá sa pripisuje Lazarusovi, zahŕňa kombináciu špeciálne vyvinutého malvéru a verejne dostupných útočných nástrojov. Medzi pozorované nástroje patria:

  • RP_Proxy, proprietárny proxy nástroj.
  • Mimikatz, nástroj na odstraňovanie prihlasovacích údajov, ktorý sa bežne používa v činnostiach po vykorisťovaní.
  • Comebacker, zadné vrátka exkluzívne pre Lazarus.
  • InfoHook, nástroj na krádež informácií, ktorý bol predtým spojený s nasadením Comebackeru.
  • BLINDINGCAN (tiež známy ako AIRDRY alebo ZetaNile), trójsky kôň pre vzdialený prístup.
  • ChromeStealer, nástroj určený na extrahovanie uložených prihlasovacích údajov z prehliadača Chrome.

Hoci vydieracie taktiky pripomínajú skoršie operácie Andariel, súčasná aktivita nebola definitívne pripísaná konkrétnej podskupine Lazarus.

Strategické dôsledky: Pragmatizmus pred proprietárnym rozvojom

Prijatie variantov ransomvéru, ako sú Medusa a Qilin, odráža prevádzkový pragmatizmus. Vývoj a údržba vlastných rodín ransomvéru si vyžaduje značné zdroje, testovanie a infraštruktúru. Využívanie zavedených platforiem RaaS poskytuje okamžitý prístup k vyspelým šifrovacím možnostiam, prevádzkovej podpore a overeným mechanizmom monetizácie. Štruktúry poplatkov za partnerské programy možno považovať za rozumný kompromis v porovnaní s nákladmi na vývoj a údržbu.

Trvalé a neobmedzené cielenie

Posun smerom k bežne dostupnému ransomvéru ďalej podčiarkuje trvalé zapojenie Severnej Kórey do finančne motivovanej kyberkriminality. Vzorce výberu cieľov naznačujú minimálne obmedzenia, pričom do rozsahu pôsobnosti patria organizácie v Spojených štátoch vrátane zdravotníckych zariadení. Zatiaľ čo niektoré zločinecké skupiny verejne tvrdia, že sa vyhýbajú cieľom v oblasti zdravotníctva, aby zmiernili následky poškodenia reputácie, v operáciách súvisiacich s programom Lazarus sa nezdá byť zjavné žiadne porovnateľné obmedzenie.

Trendy

Útok ransomvéru Medusa

Pokročilá perzistentná hrozba (APT), Ransomware
So Severnou Kóreou prepojená skupina kybernetických hackerov známa ako Lazarus Group, sledovaná aj ako Diamond Sleet a Pompilus, bola pozorovaná pri útoku na nemenovanú organizáciu na Blízkom východe s použitím ransomvéru Medusa. Bezpečnostní experti ďalej identifikovali neúspešný pokus tých istých aktérov o prienik, ktorý sa zameral na zdravotnícku organizáciu v Spojených štátoch. Medusa...

American Express – Je potrebná aktualizácia prístupu...

Phishing, Spam
V dnešnom digitálnom prostredí je nevyhnutná ostražitosť pri riešení neočakávaných e-mailov. Kyberzločinci sa často vydávajú za dôveryhodné značky, aby oklamali príjemcov a prinútili ich prezradiť citlivé informácie. Takzvaný e-mailový podvod s požiadavkou na aktualizáciu prístupu k účtu American Express je jednou z takýchto phishingových kampaní. Tieto e-maily nie sú spojené so žiadnymi...

Najviac videné

Načítava...