Кампанія атаки програм-вимагачів Medusa
Пов'язаний з Північною Кореєю зловмисник Lazarus Group, також відстежуваний як Diamond Sleet та Pompilus, був помічений під час розгортання програмного забезпечення-вимагача Medusa під час атаки на неназвану організацію на Близькому Сході. Дослідники безпеки також виявили невдалу спробу вторгнення тих самих осіб, спрямовану на організацію охорони здоров'я у Сполучених Штатах.
Medusa працює за моделлю програми-вимагача як послуга (RaaS) і була запущена у 2023 році кіберзлочинною групою під назвою Spearwing. З моменту своєї появи ця операція взяла на себе відповідальність за понад 366 атак. Огляд порталу витоків Medusa показує, що, починаючи з листопада 2025 року, чотири американські медичні та некомерційні організації були зазначені як жертви. Серед них були некомерційна організація з охорони психічного здоров'я та освітній заклад, що обслуговує дітей з аутизмом. Залишається незрозумілим, чи всі інциденти були безпосередньо пов'язані з північнокорейськими оперативниками, чи інші афілійовані особи Medusa були відповідальні за деякі вторгнення. Протягом цього періоду середня вимога викупу становила приблизно 260 000 доларів.
Зміст
Модель еволюції програм-вимагачів у північнокорейських операціях
Використання програм-вимагачів північнокорейськими кіберпідрозділами добре відоме. Ще у 2021 році підкластер Lazarus, відомий як Andariel (також відомий як Stonefly), здійснював атаки по всій Південній Кореї, Японії та Сполучених Штатах, використовуючи власні сімейства програм-вимагачів, такі як SHATTEREDGLASS, Maui та H0lyGh0st.
У жовтні 2024 року групу було пов'язано з розгортанням програми-вимагача Play, що сигналізувало про стратегічний поворот до використання комерційно доступного програмного забезпечення-вимагача, а не виключно до використання спеціально створених корисних навантажень.
Цей перехід не є винятком для Andariel. Повідомлялося, що інший північнокорейський кіберзлочинець, Moonstone Sleet, раніше пов'язаний зі спеціалізованим програмним забезпеченням-вимагачем FakePenny, атакував південнокорейські фінансові установи за допомогою програми-вимагача Qilin. У сукупності ці події свідчать про ширше тактичне коригування, за якого північнокорейські оператори все частіше функціонують як афілійовані особи в рамках усталених екосистем RaaS, замість того, щоб підтримувати повністю власні ланцюжки інструментів програм-вимагачів.
Оперативний набір інструментів для підтримки кампанії «Медуза»
Активність, пов'язана з Medusa, яку приписують Lazarus, включає поєднання спеціально розробленого шкідливого програмного забезпечення та загальнодоступних агресивних утиліт. Спостережувані інструменти включають:
- RP_Proxy, власна утиліта для проксі-сервера.
- Mimikatz — інструмент для видалення облікових даних, який широко використовується в діяльності після експлуатації.
- Comebacker, ексклюзивний бекдор для Lazarus.
- InfoHook, викрадач інформації, який раніше пов'язували з розгортанням Comebacker.
- BLINDINGCAN (також відомий як AIRDRY або ZetaNile) – троян віддаленого доступу.
- ChromeStealer — утиліта, призначена для вилучення збережених облікових даних з браузера Chrome.
Хоча тактика вимагання нагадує попередні операції Андаріеля, поточну діяльність не можна остаточно віднести до конкретної підгрупи Лазаря.
Стратегічні наслідки: прагматизм замість власного розвитку
Впровадження таких варіантів програм-вимагачів, як Medusa та Qilin, відображає операційний прагматизм. Розробка та підтримка власних сімейств програм-вимагачів вимагає значних ресурсів, тестування та інфраструктури. Використання усталених платформ RaaS забезпечує негайний доступ до зрілих можливостей шифрування, операційної підтримки та перевірених механізмів монетизації. Структури партнерських комісій можна розглядати як розумний компроміс, якщо порівняти їх з витратами на розробку та обслуговування.
Постійне та необмежене таргетування
Перехід до готових програм-вимагачів ще раз підкреслює постійну участь Північної Кореї у фінансово мотивованій кіберзлочинності. Моделі вибору цілей свідчать про мінімальні обмеження, причому організації у Сполучених Штатах, включаючи медичні заклади, потрапляють під дію. Хоча деякі злочинні групи публічно заявляють, що уникають цілей у сфері охорони здоров'я, щоб зменшити репутаційні наслідки, жодних аналогічних обмежень не видно в операціях, пов'язаних з Lazarus.
