మెడుసా రాన్సమ్‌వేర్ దాడి ప్రచారం

ఉత్తర కొరియాతో సంబంధం ఉన్న బెదిరింపు సంస్థ లాజరస్ గ్రూప్, డైమండ్ స్లీట్ మరియు పాంపిలస్ అని కూడా పిలువబడుతుంది, మధ్యప్రాచ్యంలోని ఒక పేరులేని సంస్థపై దాడిలో మెడుసా రాన్సమ్‌వేర్‌ను ప్రయోగిస్తున్నట్లు గమనించబడింది. యునైటెడ్ స్టేట్స్‌లోని ఒక ఆరోగ్య సంరక్షణ సంస్థను లక్ష్యంగా చేసుకుని అదే సంస్థల విఫలమైన చొరబాటు ప్రయత్నాన్ని భద్రతా పరిశోధకులు గుర్తించారు.

మెడుసా రాన్సమ్‌వేర్-యాజ్-ఎ-సర్వీస్ (RaaS) మోడల్ కింద పనిచేస్తుంది మరియు దీనిని 2023లో స్పియర్‌వింగ్‌గా గుర్తించబడిన సైబర్ క్రైమ్ గ్రూప్ ప్రారంభించింది. దాని ఆవిర్భావం నుండి, ఈ ఆపరేషన్ 366 కంటే ఎక్కువ దాడులకు బాధ్యత వహించింది. మెడుసా లీక్ పోర్టల్ సమీక్ష ప్రకారం, నవంబర్ 2025 నుండి, నాలుగు US-ఆధారిత ఆరోగ్య సంరక్షణ మరియు లాభాపేక్షలేని సంస్థలు బాధితులుగా జాబితా చేయబడ్డాయి. వీటిలో మానసిక ఆరోగ్య లాభాపేక్షలేని సంస్థ మరియు ఆటిస్టిక్ పిల్లలకు సేవలందిస్తున్న విద్యా సంస్థ ఉన్నాయి. అన్ని సంఘటనలు నేరుగా ఉత్తర కొరియా కార్యకర్తలకు ఆపాదించబడ్డాయా లేదా ఇతర మెడుసా అనుబంధ సంస్థలు కొన్ని చొరబాట్లకు కారణమా అనేది అస్పష్టంగానే ఉంది. ఆ కాలంలో, సగటు విమోచన డిమాండ్ సుమారు $260,000 వద్ద ఉంది.

ఉత్తర కొరియా కార్యకలాపాలలో రాన్సమ్‌వేర్ పరిణామం యొక్క నమూనా

ఉత్తర కొరియా సైబర్ యూనిట్లు రాన్సమ్‌వేర్‌ను ఉపయోగించడం బాగా స్థిరపడింది. 2021 నాటికి, అండారియల్ (స్టోన్‌ఫ్లై అని కూడా పిలుస్తారు) అని పిలువబడే లాజరస్ సబ్-క్లస్టర్ దక్షిణ కొరియా, జపాన్ మరియు యునైటెడ్ స్టేట్స్ అంతటా SHATTEREDGLASS, Maui మరియు H0lyGh0st వంటి యాజమాన్య రాన్సమ్‌వేర్ కుటుంబాలను ఉపయోగించి దాడులను నిర్వహించింది.

అక్టోబర్ 2024లో, ఈ గ్రూప్ Play ransomware విస్తరణకు లింక్ చేయబడింది, ఇది ప్రత్యేకంగా కస్టమ్-బిల్ట్ పేలోడ్‌లపై ఆధారపడకుండా వాణిజ్యపరంగా అందుబాటులో ఉన్న ransomware వాడకం వైపు వ్యూహాత్మక పివోట్‌ను సూచిస్తుంది.

ఈ మార్పు అండారియల్‌కు మాత్రమే పరిమితం కాదు. గతంలో కస్టమ్ ఫేక్‌పెన్నీ రాన్సమ్‌వేర్‌తో సంబంధం కలిగి ఉన్న మరో ఉత్తర కొరియా బెదిరింపు నటుడు మూన్‌స్టోన్ స్లీట్, క్విలిన్ రాన్సమ్‌వేర్‌ను ఉపయోగించి దక్షిణ కొరియా ఆర్థిక సంస్థలను లక్ష్యంగా చేసుకున్నట్లు నివేదించబడింది. సమిష్టిగా, ఈ పరిణామాలు ఉత్తర కొరియా ఆపరేటర్లు పూర్తిగా యాజమాన్య రాన్సమ్‌వేర్ టూల్‌చైన్‌లను నిర్వహించడానికి బదులుగా స్థాపించబడిన RaaS పర్యావరణ వ్యవస్థలలో అనుబంధ సంస్థలుగా ఎక్కువగా పనిచేసే విస్తృత వ్యూహాత్మక సర్దుబాటును సూచిస్తున్నాయి.

మెడుసా ప్రచారానికి మద్దతు ఇచ్చే ఆపరేషనల్ టూల్‌సెట్

లాజరస్‌కు ఆపాదించబడిన మెడుసా-సంబంధిత కార్యాచరణలో కస్టమ్-అభివృద్ధి చెందిన మాల్వేర్ మరియు బహిరంగంగా అందుబాటులో ఉన్న ప్రమాదకర యుటిలిటీల మిశ్రమం ఉంటుంది. పరిశీలించిన సాధనాల్లో ఇవి ఉన్నాయి:

• RP_Proxy, ఒక యాజమాన్య ప్రాక్సీ యుటిలిటీ.
• మిమికాట్జ్, దోపిడీ తర్వాత కార్యకలాపాలలో విస్తృతంగా ఉపయోగించే ఒక ఆధారాలను డంపింగ్ చేసే సాధనం.
• కమ్‌బ్యాకర్, లాజరస్-ప్రత్యేకమైన బ్యాక్‌డోర్.
• ఇన్ఫోహుక్, గతంలో కమ్‌బ్యాకర్ విస్తరణలతో ముడిపడి ఉన్న సమాచార దొంగ.

దోపిడీ వ్యూహాలు మునుపటి అండారియల్ కార్యకలాపాలను పోలి ఉన్నప్పటికీ, ప్రస్తుత కార్యకలాపాలు నిర్దిష్ట లాజరస్ ఉప-సమూహానికి ఖచ్చితంగా ఆపాదించబడలేదు.

వ్యూహాత్మక చిక్కులు: యాజమాన్య అభివృద్ధిపై వ్యావహారికసత్తావాదం

మెడుసా మరియు క్విలిన్ వంటి రాన్సమ్‌వేర్ వేరియంట్‌లను స్వీకరించడం కార్యాచరణ ఆచరణాత్మకతను ప్రతిబింబిస్తుంది. కస్టమ్ రాన్సమ్‌వేర్ కుటుంబాలను అభివృద్ధి చేయడం మరియు నిర్వహించడం వలన గణనీయమైన వనరులు, పరీక్ష మరియు మౌలిక సదుపాయాలు అవసరం. స్థాపించబడిన RaaS ప్లాట్‌ఫారమ్‌లను ఉపయోగించడం వలన పరిణతి చెందిన ఎన్‌క్రిప్షన్ సామర్థ్యాలు, కార్యాచరణ మద్దతు మరియు నిరూపితమైన డబ్బు ఆర్జన విధానాలకు తక్షణ ప్రాప్యత లభిస్తుంది. అభివృద్ధి మరియు నిర్వహణ ఖర్చులతో పోల్చినప్పుడు అనుబంధ రుసుము నిర్మాణాలను సహేతుకమైన ట్రేడ్-ఆఫ్‌గా చూడవచ్చు.

నిరంతర మరియు అనియంత్రిత లక్ష్యం

ఆఫ్-ది-షెల్ఫ్ రాన్సమ్‌వేర్ వైపు మొగ్గు చూపడం వల్ల ఉత్తర కొరియా ఆర్థికంగా ప్రేరేపించబడిన సైబర్ నేరాలలో నిరంతరం పాల్గొంటుందని మరింత నొక్కి చెబుతుంది. లక్ష్య ఎంపిక విధానాలు కనీస నిగ్రహాన్ని సూచిస్తాయి, యునైటెడ్ స్టేట్స్‌లోని ఆరోగ్య సంరక్షణ సంస్థలు సహా సంస్థలు పరిధిలోకి వస్తాయి. కొన్ని నేర సమూహాలు ప్రతిష్ట పతనాన్ని తగ్గించడానికి ఆరోగ్య సంరక్షణ లక్ష్యాలను తప్పించుకుంటామని బహిరంగంగా చెప్పుకుంటున్నప్పటికీ, లాజరస్-లింక్డ్ ఆపరేషన్లలో పోల్చదగిన పరిమితి స్పష్టంగా కనిపించడం లేదు.