Связанные с группировкой Lazarus хакеры, спонсируемые северокорейским государством, нацеливаются на медицинские организации США в рамках вымогательских атак с использованием программы-вымогателя Medusa.
Операция по предоставлению Medusa в качестве программы-вымогателя как услуги (RaaS) появилась в январе 2021 года, и к февралю 2025 года она затронула более 300 организаций в различных секторах критической инфраструктуры. С тех пор банда заявила как минимум о 80 других жертвах.
Северокорейские злоумышленники ранее были связаны с другими вариантами программ-вымогателей, такими как HolyGhost, PLAY, Maui, Qilin и другими семействами вредоносного ПО. Однако это первый случай, когда исследователи безопасности связывают эту группировку с Medusa.
В сегодняшнем отчете компания Symantec, занимающаяся кибербезопасностью предприятий, сообщает, что подгруппа Lazarus — возможно, Andariel/Stonefly — теперь использует Medusa в финансово мотивированных кибератаках, нацеленных на медицинских провайдеров США.
По данным исследователей, набор инструментов, используемый в этих атаках, также демонстрирует некоторую связь с Diamond Sleet, другой северокорейской группой, которая обычно нацеливается на медиа-, оборонную и ИТ-отрасли.
Однако некоторые утилиты, замеченные в атаках с использованием вымогателя Medusa, являются общедоступными инструментами:
- Comebacker – бэкдор/загрузчик, связанный с Diamond Sleet
- Blindingcan – троян удаленного доступа
- ChromeStealer – экстрактор учетных данных Chrome
- Infohook – похититель информации
- Mimikatz – инструмент для дампа учетных данных
- RP_Proxy – собственный прокси-инструмент
- Curl – инструмент для передачи данных
Хотя не все недавние атаки Medusa можно с уверенностью отнести к Lazarus, средний зафиксированный выкуп составил 260 000 долларов, которые, как утверждалось в прошлых судебных разбирательствах, используются для финансирования шпионских операций, в том числе против оборонного, технологического секторов и государственных структур в США, Тайване и Южной Корее.
Исследователи отмечают, что для северокорейцев нет секторов, «вне досягаемости», поскольку у них нет этических барьеров, мешающих им нарушать работу здравоохранения.
«Переход на Medusa демонстрирует, что хищническое участие Северной Кореи в киберпреступности продолжается без перерыва», — комментируют исследователи Symantec.
«В то время как некоторые киберпреступные группировки заявляют, что избегают нацеливания на медицинские организации из-за репутационного ущерба, который это может повлечь, Lazarus, похоже, ничем не ограничен».
Symantec привела индикаторы компрометации (IoC) в конце своего отчета, чтобы помочь защитникам своевременно обнаруживать эти атаки и предотвращать шифрование конфиденциальных данных.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
