Medusa Fidye Yazılımı Saldırı Kampanyası
Kuzey Kore bağlantılı Lazarus Grubu olarak da bilinen ve Diamond Sleet ile Pompilus adlarıyla da anılan tehdit aktörünün, Orta Doğu'da adı açıklanmayan bir kuruluşa yönelik saldırıda Medusa fidye yazılımını kullandığı gözlemlendi. Güvenlik araştırmacıları ayrıca, aynı aktörlerin Amerika Birleşik Devletleri'ndeki bir sağlık kuruluşunu hedef alan başarısız bir sızma girişimini de tespit etti.
Medusa, fidye yazılımı hizmeti (RaaS) modeliyle çalışan ve 2023 yılında Spearwing olarak tanımlanan bir siber suç grubu tarafından başlatılan bir virüstür. Ortaya çıkışından bu yana, operasyon 366'dan fazla saldırının sorumluluğunu üstlenmiştir. Medusa sızıntı portalının incelenmesi, Kasım 2025'ten itibaren ABD merkezli dört sağlık ve kar amacı gütmeyen kuruluşun mağdur olarak listelendiğini göstermektedir. Bunlar arasında bir ruh sağlığı kuruluşu ve otizmli çocuklara hizmet veren bir eğitim kurumu bulunmaktadır. Tüm olayların doğrudan Kuzey Koreli ajanlara mı atfedildiği yoksa diğer Medusa bağlantılı kuruluşların bazı saldırılardan sorumlu olup olmadığı belirsizliğini koruyor. Bu dönemde ortalama fidye talebi yaklaşık 260.000 dolardı.
İçindekiler
Kuzey Kore Operasyonlarında Fidye Yazılımlarının Evrimine İlişkin Bir Model
Kuzey Kore siber birimlerinin fidye yazılımı kullanımı iyi bilinen bir gerçektir. 2021 gibi erken bir tarihte, Andariel (Stonefly olarak da anılır) olarak bilinen bir Lazarus alt grubu, SHATTEREDGLASS, Maui ve H0lyGh0st gibi tescilli fidye yazılımı ailelerini kullanarak Güney Kore, Japonya ve Amerika Birleşik Devletleri'nde saldırılar düzenlemiştir.
Ekim 2024'te grup, Play fidye yazılımının yayılmasıyla ilişkilendirildi ve bu da stratejik olarak özel olarak geliştirilmiş zararlı yazılımlara güvenmek yerine, piyasada bulunan fidye yazılımlarını kullanmaya doğru bir yönelimi işaret etti.
Bu geçiş yalnızca Andariel ile sınırlı değil. Daha önce özel FakePenny fidye yazılımıyla ilişkilendirilen bir diğer Kuzey Koreli tehdit aktörü Moonstone Sleet'in, Qilin fidye yazılımını kullanarak Güney Koreli finans kuruluşlarını hedef aldığı bildirildi. Toplu olarak, bu gelişmeler, Kuzey Koreli operatörlerin tamamen kendilerine ait fidye yazılımı araç zincirlerini sürdürmek yerine, yerleşik RaaS ekosistemleri içinde giderek daha fazla iştirakçi olarak faaliyet gösterdiği daha geniş bir taktiksel ayarlamaya işaret ediyor.
Medusa Kampanyasını Destekleyen Operasyonel Araç Seti
Lazarus'a atfedilen Medusa ile ilgili faaliyet, özel olarak geliştirilmiş kötü amaçlı yazılımlar ve halka açık saldırı araçlarının bir karışımını içermektedir. Gözlemlenen araçlar şunlardır:
- RP_Proxy, tescilli bir proxy yardımcı programıdır.
- Mimikatz, sömürü sonrası faaliyetlerde yaygın olarak kullanılan bir kimlik bilgisi ele geçirme aracıdır.
- Comebacker, Lazarus'a özel bir arka kapı.
- InfoHook, daha önce Comebacker operasyonlarıyla bağlantılı olduğu belirtilen bir bilgi hırsızlığı yazılımıdır.
- BLINDINGCAN (AIRDRY veya ZetaNile olarak da bilinir), uzaktan erişim sağlayan bir truva atıdır.
- ChromeStealer, Chrome tarayıcısından kaydedilmiş kimlik bilgilerini çıkarmak için tasarlanmış bir yardımcı programdır.
Şantaj taktikleri daha önceki Andariel operasyonlarına benzese de, mevcut faaliyetler kesin olarak belirli bir Lazarus alt grubuna atfedilememiştir.
Stratejik Çıkarımlar: Tescilli Geliştirme Yerine Pragmatizm
Medusa ve Qilin gibi fidye yazılımı varyantlarının benimsenmesi, operasyonel pragmatizmi yansıtmaktadır. Özel fidye yazılımı ailelerinin geliştirilmesi ve sürdürülmesi önemli kaynaklar, testler ve altyapı gerektirir. Yerleşik RaaS platformlarından yararlanmak, olgun şifreleme yeteneklerine, operasyonel desteğe ve kanıtlanmış para kazanma mekanizmalarına anında erişim sağlar. Ortaklık ücreti yapıları, geliştirme ve bakım maliyetleriyle karşılaştırıldığında makul bir uzlaşma olarak görülebilir.
Sürekli ve Sınırsız Hedefleme
Hazır fidye yazılımlarına yönelme, Kuzey Kore'nin mali motivasyonlu siber suçlara olan sürekli ilgisini daha da vurguluyor. Hedef seçimi kalıpları, ABD'deki sağlık kuruluşları da dahil olmak üzere, kısıtlamanın minimum düzeyde olduğunu gösteriyor. Bazı suç grupları, itibar kaybını azaltmak için sağlık sektörünü hedef almaktan kaçındıklarını kamuoyuna açıklasa da, Lazarus bağlantılı operasyonlarda benzer bir sınırlama görünmüyor.
