Popust za več licenc
Podjetje o grožnjah Napredna trajna grožnja (APT) Kampanja napada izsiljevalske programske opreme Medusa

Kampanja napada izsiljevalske programske opreme Medusa

Do leta Mezo leta Napredna trajna grožnja (APT), Ransomware
Prevedi v:

Severnokorejski akter, znan kot Lazarus Group, ki ga spremljajo tudi kot Diamond Sleet in Pompilus, je bil opažen pri uporabi izsiljevalske programske opreme Medusa v napadu na neimenovano organizacijo na Bližnjem vzhodu. Varnostni raziskovalci so nadalje odkrili neuspešen poskus vdora istih akterjev, ki je bil usmerjen v zdravstveno organizacijo v Združenih državah.

Medusa deluje po modelu izsiljevalske programske opreme kot storitve (RaaS) in jo je leta 2023 zagnala skupina za kibernetski kriminal, znana kot Spearwing. Od svojega nastanka je operacija prevzela odgovornost za več kot 366 napadov. Pregled portala za puščanje informacij Medusa kaže, da so bile od novembra 2025 med žrtvami navedene štiri zdravstvene in neprofitne organizacije s sedežem v ZDA. Med njimi sta bili neprofitna ustanova za duševno zdravje in izobraževalna ustanova, ki skrbi za avtistične otroke. Ni jasno, ali so bili vsi incidenti neposredno pripisani severnokorejskim operativcem ali so bile za nekatere vdore odgovorne druge podružnice Meduze. V tem obdobju je povprečna zahteva za odkupnino znašala približno 260.000 dolarjev.

Vzorec evolucije izsiljevalske programske opreme znotraj severnokorejskih operacij

Uporaba izsiljevalske programske opreme s strani severnokorejskih kibernetskih enot je dobro uveljavljena. Že leta 2021 je podskupina Lazarus, znana kot Andariel (imenovana tudi Stonefly), izvajala napade po Južni Koreji, Japonski in Združenih državah Amerike z uporabo lastniških družin izsiljevalske programske opreme, kot so SHATTEREDGLASS, Maui in H0lyGh0st.

Oktobra 2024 je bila skupina povezana z namestitvijo izsiljevalske programske opreme Play, kar je signaliziralo strateški premik k uporabi komercialno dostopne izsiljevalske programske opreme namesto izključnega zanašanja na prilagojene koristne tovore.

Ta prehod ni osamljen primer podjetja Andariel. Poročali so, da je drug severnokorejski akter grožnje, Moonstone Sleet, ki je bil prej povezan z izsiljevalsko programsko opremo FakePenny po meri, z uporabo izsiljevalske programske opreme Qilin ciljal na južnokorejske finančne institucije. Skupaj ti dogodki kažejo na širšo taktično prilagoditev, pri kateri severnokorejski operaterji vse bolj delujejo kot podružnice znotraj uveljavljenih ekosistemov RaaS, namesto da bi vzdrževali povsem lastniške verige orodij za izsiljevalsko programsko opremo.

Operativni nabor orodij za podporo kampanji Meduza

Dejavnost, povezana z Meduzo, ki se pripisuje Lazarusu, vključuje mešanico posebej razvite zlonamerne programske opreme in javno dostopnih ofenzivnih orodij. Opazovana orodja vključujejo:

  • RP_Proxy, lastniški pripomoček za proxy.
  • Mimikatz, orodje za odlaganje poverilnic, ki se pogosto uporablja v dejavnostih po izkoriščanju.
  • Comebacker, ekskluzivna stranska vrata za Lazarus.
  • InfoHook, kradljiva programska oprema za informacije, ki je bila prej povezana z uvedbo Comebackerja.
  • BLINDINGCAN (znan tudi kot AIRDRY ali ZetaNile), trojanski konj za oddaljeni dostop.
  • ChromeStealer, pripomoček, zasnovan za pridobivanje shranjenih poverilnic iz brskalnika Chrome.

Čeprav izsiljevalske taktike spominjajo na prejšnje operacije Andariel, trenutne dejavnosti niso bile dokončno pripisane določeni podskupini Lazarus.

Strateške posledice: pragmatizem pred lastniškim razvojem

Sprejemanje različic izsiljevalske programske opreme, kot sta Medusa in Qilin, odraža operativni pragmatizem. Razvoj in vzdrževanje družin izsiljevalske programske opreme po meri zahteva znatne vire, testiranje in infrastrukturo. Izkoriščanje uveljavljenih platform RaaS zagotavlja takojšen dostop do zrelih zmogljivosti šifriranja, operativne podpore in preizkušenih mehanizmov monetizacije. Strukture partnerskih provizij se lahko obravnavajo kot razumen kompromis, če jih pretehtamo glede na stroške razvoja in vzdrževanja.

Vztrajno in neomejeno ciljanje

Premik k standardni izsiljevalski programski opremi še dodatno poudarja vztrajno vpletenost Severne Koreje v finančno motivirano kibernetsko kriminaliteto. Vzorci izbire tarč kažejo na minimalno zadržanost, saj organizacije v Združenih državah Amerike, vključno z zdravstvenimi ustanovami, spadajo v področje uporabe. Medtem ko nekatere kriminalne združbe javno trdijo, da se izogibajo tarčam v zdravstvu, da bi ublažile posledice za ugled, v operacijah, povezanih z Lazarusom, ni opaziti nobene primerljive omejitve.

V trendu

Kampanja napada izsiljevalske programske opreme Medusa

Napredna trajna grožnja (APT), Ransomware
Severnokorejski akter, znan kot Lazarus Group, ki ga spremljajo tudi kot Diamond Sleet in Pompilus, je bil opažen pri uporabi izsiljevalske programske opreme Medusa v napadu na neimenovano organizacijo na Bližnjem vzhodu. Varnostni raziskovalci so nadalje odkrili neuspešen poskus vdora istih akterjev, ki je bil usmerjen v zdravstveno organizacijo v Združenih državah. Medusa deluje po modelu...

American Express - Potrebna je posodobitev dostopa...

Lažno predstavljanje, Neželena pošta
V današnjem digitalnem okolju je bistvenega pomena ostati pozoren pri obravnavanju nepričakovanih e-poštnih sporočil. Kibernetski kriminalci se pogosto izdajajo za zaupanja vredne blagovne znamke, da bi prejemnike zvabili v razkritje občutljivih podatkov. Tako imenovana prevara z e-poštnimi sporočili American Express – potrebna je posodobitev dostopa do računa (American Express – Account Access...

Najbolj gledan

Nalaganje...