Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Kërcënimi i avancuar i vazhdueshëm (APT) Medusa Ransomware Attack Campaign

Medusa Ransomware Attack Campaign

Nga MezoKërcënimi i avancuar i vazhdueshëm (APT), Ransomware
Përkthe në:

Aktori kërcënues i lidhur me Korenë e Veriut i njohur si Lazarus Group, i ndjekur gjithashtu si Diamond Sleet dhe Pompilus, është vërejtur duke vendosur ransomware Medusa në një sulm kundër një organizate të paidentifikuar në Lindjen e Mesme. Studiuesit e sigurisë identifikuan më tej një përpjekje të pasuksesshme ndërhyrjeje nga të njëjtët aktorë që synonin një organizatë të kujdesit shëndetësor në Shtetet e Bashkuara.

Medusa vepron sipas një modeli ransomware-as-a-service (RaaS) dhe u lançua në vitin 2023 nga një grup krimi kibernetik i identifikuar si Spearwing. Që nga shfaqja e tij, operacioni ka marrë përgjegjësinë për më shumë se 366 sulme. Rishikimi i portalit të rrjedhjeve të informacionit Medusa tregon se, duke filluar nga nëntori i vitit 2025, katër entitete shëndetësore dhe jofitimprurëse me bazë në SHBA u listuan si viktima. Këto përfshinin një organizatë jofitimprurëse të shëndetit mendor dhe një institucion arsimor që u shërbente fëmijëve autikë. Mbetet e paqartë nëse të gjitha incidentet u atribuohen drejtpërdrejt operativëve të Koresë së Veriut apo nëse bashkëpunëtorët e tjerë të Medusës ishin përgjegjës për disa ndërhyrje. Gjatë asaj periudhe, kërkesa mesatare për shpërblim ishte afërsisht 260,000 dollarë.

Një model i evolucionit të Ransomware-it brenda operacioneve të Koresë së Veriut

Përdorimi i ransomware-it nga njësitë kibernetike të Koresë së Veriut është i mirënjohur. Që në vitin 2021, një nën-grup Lazarus i njohur si Andariel (i referuar edhe si Stonefly) kreu sulme në të gjithë Korenë e Jugut, Japoninë dhe Shtetet e Bashkuara duke përdorur familje të pronarit të ransomware-it si SHATTEREDGLASS, Maui dhe H0lyGh0st.

Në tetor 2024, grupi u lidh me një vendosje të ransomware-it Play, duke sinjalizuar një kthesë strategjike drejt përdorimit të ransomware-it të disponueshëm komercialisht, në vend që të mbështetej ekskluzivisht në ngarkesa të ndërtuara me porosi.

Ky tranzicion nuk është i izoluar vetëm në Andariel. Një tjetër aktor kërcënimi i Koresë së Veriut, Moonstone Sleet, i lidhur më parë me ransomware-in e personalizuar FakePenny, u raportua se kishte synuar institucionet financiare të Koresë së Jugut duke përdorur ransomware-in Qilin. Së bashku, këto zhvillime sugjerojnë një përshtatje më të gjerë taktike në të cilën operatorët e Koresë së Veriut funksionojnë gjithnjë e më shumë si bashkëpunëtorë brenda ekosistemeve të vendosura RaaS në vend që të mirëmbajnë zinxhirë mjetesh tërësisht pronësore të ransomware-it.

Seti i mjeteve operacionale që mbështesin fushatën Medusa

Aktiviteti i lidhur me Medusën që i atribuohet Lazarusit përfshin një përzierje të malware-it të zhvilluar me porosi dhe shërbimeve ofensive të disponueshme publikisht. Mjetet e vëzhguara përfshijnë:

  • RP_Proxy, një program proxy i patentuar.
  • Mimikatz, një mjet për hedhjen e kredencialeve i përdorur gjerësisht në aktivitetin pas shfrytëzimit.
  • Comebacker, një derë e pasme ekskluzive për Lazarus.
  • InfoHook, një vjedhës informacioni i lidhur më parë me vendosjet e Comebacker.
  • BLINDINGCAN (i njohur edhe si AIRDRY ose ZetaNile), një trojan me qasje në distancë.
  • ChromeStealer, një program i projektuar për të nxjerrë kredencialet e ruajtura nga shfletuesi Chrome.

Edhe pse taktikat e zhvatjes ngjajnë me operacionet e mëparshme të Andariel, aktiviteti aktual nuk i është atribuar në mënyrë përfundimtare një nëngrupi specifik të Lazarus.

Implikime Strategjike: Pragmatizmi Mbi Zhvillimin Pronësor

Përvetësimi i varianteve të ransomware-it si Medusa dhe Qilin pasqyron pragmatizëm operacional. Zhvillimi dhe mirëmbajtja e familjeve të ransomware-it të personalizuar kërkon burime, testime dhe infrastrukturë të konsiderueshme. Shfrytëzimi i platformave të vendosura RaaS ofron qasje të menjëhershme në aftësi të zhvilluara të enkriptimit, mbështetje operacionale dhe mekanizma të provuar të monetizimit. Strukturat e tarifave të bashkëpunëtorëve mund të shihen si një kompromis i arsyeshëm kur peshohen kundrejt kostove të zhvillimit dhe mirëmbajtjes.

Targetim i vazhdueshëm dhe i pakufizuar

Zhvendosja drejt programeve ransomware të gatshme nënvizon më tej angazhimin e vazhdueshëm të Koresë së Veriut në krimin kibernetik të motivuar financiarisht. Modelet e përzgjedhjes së objektivave tregojnë përmbajtje minimale, me organizatat në Shtetet e Bashkuara, duke përfshirë subjektet e kujdesit shëndetësor, që bien brenda fushëveprimit. Ndërsa disa grupe kriminale pretendojnë publikisht se shmangin objektivat e kujdesit shëndetësor për të zbutur pasojat e reputacionit, asnjë kufizim i krahasueshëm nuk duket i dukshëm në operacionet e lidhura me Lazarus.

Në trend

Medusa Ransomware Attack Campaign

Kërcënimi i avancuar i vazhdueshëm (APT), Ransomware
Aktori kërcënues i lidhur me Korenë e Veriut i njohur si Lazarus Group, i ndjekur gjithashtu si Diamond Sleet dhe Pompilus, është vërejtur duke vendosur ransomware Medusa në një sulm kundër një organizate të paidentifikuar në Lindjen e Mesme. Studiuesit e sigurisë identifikuan më tej një përpjekje të pasuksesshme ndërhyrjeje nga të njëjtët aktorë që synonin një organizatë të kujdesit...

Më e shikuara

Po ngarkohet...