Кампања напада рансомвера Медуза

Севернокорејски актер претње познат као Lazarus Group, такође праћен као Diamond Sleet и Pompilus, примећен је како користи Medusa ransomware у нападу на неименовану организацију на Блиском истоку. Истраживачи безбедности су додатно идентификовали неуспешан покушај упада истих актера усмерен на здравствену организацију у Сједињеним Државама.

Медуза послује по моделу ransomware-as-a-service (RaaS) и покренула ју је 2023. године група за сајбер криминал идентификована као Spearwing. Од свог настанка, операција је преузела одговорност за више од 366 напада. Преглед портала за цурење информација Медузе показује да су, почев од новембра 2025. године, четири здравствене и непрофитне организације са седиштем у САД наведене као жртве. Међу њима су непрофитна организација за ментално здравље и образовна установа која служи аутистичној деци. Остаје нејасно да ли су сви инциденти директно приписани севернокорејским оперативцима или су за неке упаде одговорне друге филијале Медузе. Током тог периода, просечан захтев за откуп износио је приближно 260.000 долара.

Образац еволуције рансомвера унутар севернокорејских операција

Употреба ransomware-а од стране севернокорејских сајбер јединица је добро утврђена. Још 2021. године, подкластер Lazarus познат као Andariel (такође познат као Stonefly) спровео је нападе широм Јужне Кореје, Јапана и Сједињених Држава користећи власничке породице ransomware-а као што су SHATTEREDGLASS, Maui и H0lyGh0st.

У октобру 2024. године, група је повезана са распоређивањем Play ransomware-а, што је сигнализирало стратешки заокрет ка коришћењу комерцијално доступног ransomware-а уместо искључивог ослањања на прилагођене корисне садржаје.

Ова транзиција није изолована само за Andariel. Још један севернокорејски претњачки актер, Moonstone Sleet, раније повезан са прилагођеним FakePenny ransomware-ом, наводно је циљао јужнокорејске финансијске институције користећи Qilin ransomware. Заједно, ови развоји догађаја указују на шире тактичко прилагођавање у којем севернокорејски оператери све више функционишу као филијале унутар успостављених RaaS екосистема уместо да одржавају потпуно власничке ланце алата за ransomware.

Оперативни алати који подржавају кампању Медуза

Активност повезана са Медузом која се приписује Лазарусу укључује мешавину посебно развијеног злонамерног софтвера и јавно доступних офанзивних алата. Уочени алати укључују:

• RP_Proxy, власнички прокси услужни програм.
• Мимикац, алат за брисање акредитива који се широко користи у активностима након експлоатације.
• Цомебацкер, Лазарус ексклузивни бацкдоор.
• ИнфоХук, крађа информација која је раније била повезана са имплементацијама Comebacker-а.
• BLINDINGCAN (такође познат као AIRDRY или ZetaNile), тројански кон за удаљени приступ.

• ChromeStealer, услужни програм дизајниран за издвајање сачуваних акредитива из Chrome прегледача.

Иако тактике изнуде подсећају на раније операције Андариела, тренутне активности нису дефинитивно приписане одређеној подгрупи Лазар.

Стратешке импликације: Прагматизам пре сопственог развоја

Усвајање варијанти ransomware-а као што су Medusa и Qilin одражава оперативни прагматизам. Развој и одржавање прилагођених породица ransomware-а захтева значајне ресурсе, тестирање и инфраструктуру. Коришћење успостављених RaaS платформи пружа тренутни приступ зрелим могућностима шифровања, оперативној подршци и доказаним механизмима монетизације. Структуре партнерских накнада могу се сматрати разумним компромисом када се упореде са трошковима развоја и одржавања.

Упорно и неограничено циљање

Прелазак на готове ransomware програме додатно наглашава континуирано учешће Северне Кореје у финансијски мотивисаном сајбер криминалу. Обрасци избора мета указују на минимална ограничења, при чему организације у Сједињеним Државама, укључујући здравствене установе, спадају у опсег. Док неке криминалне групе јавно тврде да избегавају здравствене циљеве како би ублажиле штету по репутацију, не чини се да је упоредиво ограничење видљиво у операцијама повезаним са Lazarus-ом.