Lazarus Group користи Medusa ransomware во напади на Блискиот Исток и врз здравствени организации во САД

Групата Lazarus Group, поврзана со Северна Кореја (позната и како Diamond Sleet и Pompilus), е забележана како користи Medusa ransomware во напад насочен кон неименуван субјект на Блискиот Исток, според нов извештај на Symantec и тимот Carbon Black Threat Hunter.

Одделот за разузнавање закани на Broadcom соопшти дека ги идентификувал истите заканувачки актери како извршиле и неуспешен напад врз здравствена организација во САД.

Medusa е ransomware-as-a-service (RaaS) операција започната од сајбер-криминалната група Spearwing во 2023 година. Групата досега презела одговорност за повеќе од 366 напади.

„Анализата на Medusa leak-страницата открива напади врз четири здравствени и непрофитни организации во САД од почетокот на ноември 2025 година,“ соопшти компанијата во извештај споделен со The Hacker News.

„Меѓу жртвите имаше непрофитна организација во секторот за ментално здравје и образовна институција за деца со аутизам. Не е познато дали сите овие жртви биле таргетирани од севернокорејски оперативци или некои од нападите ги извршиле други Medusa партнери (affiliate). Просечната откупнина во тој период изнесувала 260.000 долари.“

Употребата на ransomware од страна на севернокорејските хакерски групи не е нова појава. Уште во 2021 година, подгрупа на Lazarus позната како Andariel (Stonefly) напаѓала субјекти во Јужна Кореја, Јапонија и САД со сопствени ransomware фамилии како SHATTEREDGLASS, Maui и H0lyGh0st.

Во октомври 2024 година, групата беше поврзана и со напад со Play ransomware, што означи премин кон користење „готов“ (off-the-shelf) ransomware за енкрипција на системите на жртвите и барање откуп.

Сепак, Andariel не е единствена во овој премин од сопствен развој кон веќе достапни варијанти. Минатата година, Bitdefender откри дека друг севернокорејски актер познат како Moonstone Sleet, кој претходно користел сопствен ransomware наречен FakePenny, најверојатно таргетирал повеќе јужнокорејски финансиски компании со Qilin ransomware.

Овие промени можеби укажуваат на тактичка промена кај севернокорејските хакерски групи – наместо да развиваат сопствени алатки, тие сè повеќе функционираат како партнери (affiliates) на веќе воспоставени RaaS групи, наместо самостојно да го развиваат и одржуваат малициозниот софтвер.

„Мотивацијата најверојатно е прагматизам,“ изјави Dick O’Brien, главен разузнавачки аналитичар во Symantec и Carbon Black Threat Hunter Team. „Зошто да трошите време и ресурси за развој на сопствен ransomware payload кога можете да користите веќе тестиранa и докажанa закана како Medusa или Qilin? Можеби процениле дека придобивките ги надминуваат трошоците поврзани со affiliate надоместоците.“

Кампањата со Medusa ransomware на Lazarus Group вклучува употреба на различни алатки:

• RP_Proxy – сопствен (custom) proxy алат
• Mimikatz – јавно достапна програма за извлекување (dumping) на креденцијали
• Comebacker – сопствен backdoor што ексклузивно го користи оваа заканувачка група
• InfoHook – алатка за кражба на информации, претходно идентификувана како користена заедно со Comebacker
• BLINDINGCAN (познат и како AIRDRY или ZetaNile) – тројанец за далечински пристап (RAT)
• ChromeStealer – алатка за извлекување зачувани лозинки од прелистувачот Chrome

Активноста засега не е директно поврзана со конкретна подгрупа на Lazarus, иако нападите со изнуда наликуваат на претходните операции на Andariel.

„Преминот кон Medusa покажува дека агресивното и алчно учество на Северна Кореја во сајбер-криминалот продолжува без прекин,“ соопшти компанијата. „Се чини дека севернокорејските актери немаат многу скрупули кога станува збор за таргетирање организации во САД. Додека некои сајбер-криминални групи тврдат дека избегнуваат напади врз здравствени организации поради можната репутациска штета, Lazarus не изгледа дека е ограничена од такви соображенија.“

Извори:

• Bleeping Computer – Lazarus Group Uses Medusa Ransomware in Middle East and U.S. Healthcare Attacks Bleeping Computer