แคมเปญโจมตีแรนซัมแวร์ Medusa
กลุ่มแฮกเกอร์ที่เชื่อมโยงกับเกาหลีเหนือที่รู้จักกันในชื่อ Lazarus Group ซึ่งถูกติดตามในชื่อ Diamond Sleet และ Pompilus ถูกพบว่าใช้แรนซัมแวร์ Medusa ในการโจมตีองค์กรที่ไม่ระบุชื่อแห่งหนึ่งในตะวันออกกลาง นักวิจัยด้านความปลอดภัยยังพบความพยายามบุกรุกที่ไม่ประสบความสำเร็จโดยกลุ่มแฮกเกอร์เดียวกันนี้ที่มุ่งเป้าไปที่องค์กรด้านการดูแลสุขภาพในสหรัฐอเมริกา
Medusa ดำเนินการภายใต้โมเดลแรนซัมแวร์แบบบริการ (RaaS) และเปิดตัวในปี 2023 โดยกลุ่มอาชญากรไซเบอร์ที่ระบุชื่อว่า Spearwing นับตั้งแต่ปรากฏตัวขึ้น การปฏิบัติการนี้อ้างความรับผิดชอบต่อการโจมตีมากกว่า 366 ครั้ง การตรวจสอบพอร์ทัลการรั่วไหลของ Medusa ระบุว่า ตั้งแต่เดือนพฤศจิกายน 2025 หน่วยงานด้านการดูแลสุขภาพและองค์กรไม่แสวงผลกำไรในสหรัฐฯ 4 แห่งถูกระบุว่าเป็นเหยื่อ ซึ่งรวมถึงองค์กรไม่แสวงผลกำไรด้านสุขภาพจิตและสถาบันการศึกษาที่ให้บริการเด็กออทิสติก ยังไม่เป็นที่แน่ชัดว่าเหตุการณ์ทั้งหมดเกิดจากฝีมือของกลุ่มปฏิบัติการเกาหลีเหนือโดยตรงหรือไม่ หรือว่ากลุ่มพันธมิตรอื่นๆ ของ Medusa ก็มีส่วนรับผิดชอบในการบุกรุกบางส่วนด้วย ในช่วงเวลานั้น ค่าไถ่เฉลี่ยอยู่ที่ประมาณ 260,000 ดอลลาร์สหรัฐ
สารบัญ
รูปแบบวิวัฒนาการของแรนซัมแวร์ภายในปฏิบัติการของเกาหลีเหนือ
การใช้แรนซัมแวร์โดยหน่วยไซเบอร์ของเกาหลีเหนือเป็นที่ทราบกันดีอยู่แล้ว ตั้งแต่ปี 2021 กลุ่มย่อย Lazarus ที่รู้จักกันในชื่อ Andariel (หรือที่รู้จักกันในชื่อ Stonefly) ได้ทำการโจมตีในเกาหลีใต้ ญี่ปุ่น และสหรัฐอเมริกา โดยใช้ตระกูลแรนซัมแวร์ที่เป็นกรรมสิทธิ์ เช่น SHATTEREDGLASS, Maui และ H0lyGh0st
ในเดือนตุลาคม 2024 กลุ่มดังกล่าวถูกเชื่อมโยงกับการใช้งานแรนซอมแวร์ Play ซึ่งบ่งชี้ถึงการเปลี่ยนแปลงเชิงกลยุทธ์ไปสู่การใช้แรนซอมแวร์ที่มีจำหน่ายในเชิงพาณิชย์ แทนที่จะพึ่งพาเพย์โหลดที่สร้างขึ้นเองแต่เพียงอย่างเดียว
การเปลี่ยนแปลงนี้ไม่ได้จำกัดอยู่แค่ Andariel เท่านั้น กลุ่มแฮ็กเกอร์ชาวเกาหลีเหนืออีกกลุ่มหนึ่งคือ Moonstone Sleet ซึ่งก่อนหน้านี้เกี่ยวข้องกับมัลแวร์เรียกค่าไถ่ FakePenny ก็มีรายงานว่าได้โจมตีสถาบันการเงินของเกาหลีใต้โดยใช้มัลแวร์เรียกค่าไถ่ Qilin โดยรวมแล้ว พัฒนาการเหล่านี้ชี้ให้เห็นถึงการปรับเปลี่ยนกลยุทธ์ในวงกว้าง ซึ่งผู้ปฏิบัติการชาวเกาหลีเหนือทำหน้าที่เป็นพันธมิตรภายในระบบนิเวศ RaaS ที่จัดตั้งขึ้นแล้ว แทนที่จะรักษาเครื่องมือมัลแวร์เรียกค่าไถ่ที่เป็นกรรมสิทธิ์ของตนเองทั้งหมด
ชุดเครื่องมือปฏิบัติการที่สนับสนุนแคมเปญเมดูซ่า
กิจกรรมที่เกี่ยวข้องกับ Medusa ซึ่งระบุว่าเป็นฝีมือของ Lazarus นั้น ประกอบด้วยมัลแวร์ที่พัฒนาขึ้นเองและยูทิลิตี้โจมตีที่หาได้ทั่วไป เครื่องมือที่ตรวจพบ ได้แก่:
- RP_Proxy เป็นยูทิลิตี้พร็อกซีที่เป็นกรรมสิทธิ์ของบริษัท
- Mimikatz เป็นเครื่องมือดัมพ์ข้อมูลประจำตัวที่ใช้กันอย่างแพร่หลายในกิจกรรมหลังการเจาะระบบ
- Comebacker ประตูลับเฉพาะของ Lazarus
- InfoHook คือโปรแกรมขโมยข้อมูลที่เคยถูกเชื่อมโยงกับการใช้งาน Comebacker มาก่อน
แม้ว่ากลยุทธ์การรีดไถจะคล้ายคลึงกับการปฏิบัติการของกลุ่มอันดาริเอลในอดีต แต่กิจกรรมในปัจจุบันยังไม่สามารถระบุได้อย่างแน่ชัดว่าเป็นฝีมือของกลุ่มย่อยใดกลุ่มหนึ่งของกลุ่มลาซารัส
นัยสำคัญเชิงกลยุทธ์: การเน้นการใช้งานได้จริงเหนือกว่าการพัฒนาแบบผูกขาด
การนำมัลแวร์เรียกค่าไถ่รูปแบบต่างๆ เช่น Medusa และ Qilin มาใช้ สะท้อนให้เห็นถึงความเหมาะสมในการปฏิบัติงาน การพัฒนาและบำรุงรักษาตระกูลมัลแวร์เรียกค่าไถ่แบบกำหนดเองนั้นต้องใช้ทรัพยากร การทดสอบ และโครงสร้างพื้นฐานจำนวนมาก การใช้แพลตฟอร์ม RaaS ที่มีอยู่แล้วช่วยให้เข้าถึงความสามารถในการเข้ารหัสที่ครบวงจร การสนับสนุนการปฏิบัติงาน และกลไกการสร้างรายได้ที่ได้รับการพิสูจน์แล้วได้ทันที โครงสร้างค่าธรรมเนียมพันธมิตรอาจถือได้ว่าเป็นข้อแลกเปลี่ยนที่สมเหตุสมผลเมื่อเทียบกับต้นทุนการพัฒนาและการบำรุงรักษา
การกำหนดเป้าหมายอย่างต่อเนื่องและไร้ขอบเขต
การเปลี่ยนไปใช้แรนซัมแวร์สำเร็จรูปยิ่งตอกย้ำการมีส่วนร่วมอย่างต่อเนื่องของเกาหลีเหนือในอาชญากรรมไซเบอร์ที่มุ่งหวังผลกำไรทางการเงิน รูปแบบการเลือกเป้าหมายบ่งชี้ว่ามีการยับยั้งชั่งใจน้อยมาก โดยองค์กรในสหรัฐอเมริกา รวมถึงหน่วยงานด้านการดูแลสุขภาพ ตกเป็นเป้าหมายด้วย ในขณะที่กลุ่มอาชญากรบางกลุ่มอ้างว่าหลีกเลี่ยงเป้าหมายด้านการดูแลสุขภาพเพื่อลดผลกระทบต่อชื่อเสียง แต่ดูเหมือนว่าจะไม่มีข้อจำกัดที่เทียบเคียงได้ปรากฏให้เห็นในปฏิบัติการที่เชื่อมโยงกับ Lazarus
