Северокорейская группировка Lazarus начала использовать вымогатель Medusa для атак на критически важные цели, включая здравоохранение США. Новая тактика, те же цели. — theregister.com
Похоже, северокорейская группировка Lazarus пополнила свой арсенал еще одним инструментом. По данным исследователей угроз из Symantec и Carbon Black, она начала использовать программу-вымогатель Medusa в атаках с целью вымогательства, нацеленных как минимум на одну организацию здравоохранения США и на неназванную жертву на Ближнем Востоке.
По словам исследователей, попытка атаки на американскую организацию здравоохранения не увенчалась успехом, в то время как организация на Ближнем Востоке подверглась атаке с использованием штамма Medusa.
Из почти 30 организаций-жертв, перечисленных на сайте утечки данных Medusa с ноября 2025 года, четыре являются медицинскими и некоммерческими организациями в США, включая некоммерческую организацию, занимающуюся вопросами психического здоровья, и образовательное учреждение для детей с аутизмом.
“Неизвестно, все ли эти жертвы стали мишенью северокорейских оперативников или же некоторые из этих атак были совершены другими аффилированными лицами Medusa”, — заявили эксперты по безопасности во вторник в отчете, отметив, что средний размер выкупа за четырехмесячный период составлял 260 000 долларов США.
Medusa, представляющая собой операцию Ransomware-as-a-Service, управляемую киберпреступной группой Spearwing, существует с 2023 года. Аффилированные лица используют варианты программ-вымогателей и инфраструктуру Medusa в обмен на процент от выплат за вымогательство, и за три года работы Medusa ее аффилированные лица заявили о более чем 366 атаках. Многие из этих жертв работают в критически важных секторах, включая медицину, образование, юриспруденцию, страхование, технологии и производство, согласно предупреждению ФБР и Агентства по кибербезопасности и защите инфраструктуры США (CISA) от марта 2025 года.
Группировка Lazarus — это общий термин для обозначения спонсируемых государством КНДР наступательных киберопераций, которые включают кражу криптовалюты, атаки с целью вымогательства и мошенничество с ИТ-специалистами. Она, вероятно, наиболее известна взломом Sony Pictures в 2014 году и атакой программы-вымогателя WannaCry в 2017 году.
Одной из наиболее плодовитых подгрупп Lazarus является Andariel (также известная как Stonefly, Onyx Sleet и Silent Chollima), которая выступает в качестве киберподразделения Главного разведывательного управления (RGB) военной разведки Северной Кореи. Ранее Andariel использовала программы-вымогатели Maui и Play в своих вторжениях.
США ввели санкции против Andariel и группировки Lazarus в 2019 году, а в июле также ввели санкции против предполагаемого члена Andariel, 38-летнего Сон Кум Хёка, гражданина Северной Кореи, обвиняемого в попытке взлома Министерства финансов и выдаче себя за ИТ-специалиста для сбора доходов и секретных данных для Пхеньяна.
Годом ранее, в июле 2024 года, Министерство юстиции США предъявило обвинение Рим Чжон Хёку, гражданину Северной Кореи и еще одному предполагаемому члену Andariel, за его участие в серии атак программ-вымогателей на больницы и медицинских провайдеров США, оборонные компании, НАСА и даже китайскую цель.
Однако ни одна из этих усилий не помешала преступникам похищать виртуальные кошельки для пополнения казны Ким Чен Ына.
Во вторник в отчете говорится, что последние атаки программы-вымогателя Medusa — это “несомненно, работа Lazarus”. Однако охотники за угрозами не могут однозначно сказать, какая именно подгруппа несет ответственность.
“Хотя TTP — атаки с целью вымогательства против сектора здравоохранения США — похожи на предыдущие атаки Stonefly, используемые вредоносные инструменты не являются эксклюзивными для Stonefly”, — написали они. “Например, ранее сообщалось, что бэкдор Comebacker связан с группой Pompilus (также известной как Diamond Sleet).”
В своем отчете аналитическая компания по безопасности включила длинный список файловых индикаторов для программы-вымогателя Medusa, пользовательского бэкдора и загрузчика под названием Comebacker, который эксклюзивно связан с Lazarus, трояна удаленного доступа Blindingcan, связанного с Lazarus, а также другого вредоносного ПО и подозрительных файлов, замеченных в этих кампаниях.
“Переход на Medusa демонстрирует, что хищническое участие Северной Кореи в киберпреступности продолжается без ослабления”, — заявили аналитики по безопасности. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons