Se observó que el Grupo Lazarus vinculado a Corea del Norte (también conocido como Diamond Sleet y Pompilus) utilizaba el ransomware Medusa en ataques dirigidos a organizaciones anónimas en el Medio Oriente, según un nuevo informe de Symantec y el equipo Carbon Black Threat Hunters.
La división de inteligencia de amenazas de Broadcom también anunció que ha identificado un ataque fallido por parte de los mismos atacantes que están lanzando ataques contra organizaciones de atención médica estadounidenses. Medusa es una operación de ransomware como servicio (RaaS) lanzada en 2023 por el grupo de ciberdelincuencia conocido como Spearwing. El grupo afirma haber llevado a cabo más de 366 ataques hasta la fecha.
«El análisis del sitio filtrado de Medusa revela ataques contra cuatro organizaciones de atención médica y organizaciones sin fines de lucro de EE. UU. desde principios de noviembre de 2025», dijo la compañía en un informe compartido con Hacker News.
«Las víctimas incluyeron organizaciones sin fines de lucro de salud mental e instalaciones educativas para niños con autismo. No está claro si todas estas víctimas fueron objetivo de agentes norcoreanos o si otras compañías relacionadas con Medusa estuvieron involucradas en algunos de estos ataques. La demanda promedio de rescate en ese momento fue de 260.000 dólares».
El uso de ransomware por parte de grupos de hackers norcoreanos no tiene precedentes. En 2021, se observó que un subclúster de Lazarus llamado Andariel (también conocido como Stonefly) atacaba a organizaciones en Corea del Sur, Japón y Estados Unidos con una familia de ransomware personalizada que incluía SHATTEREDGLASS, Maui y H0lyGh0st.
Luego, en octubre de 2024, también se descubrió que Hacking Team era responsable del ataque del ransomware Play y comenzó una transición a casilleros prefabricados que cifraban los sistemas de las víctimas y exigían un rescate.
Dicho esto, Andariel no es el único ransomware que migra desde un ransomware personalizado a variantes ya disponibles. El año pasado, Bitdefender reveló que otro actor de amenazas norcoreano previamente rastreado como Moonstone Sleet, que lanzó una familia de ransomware personalizado llamada FakePenny, probablemente apuntó a varias empresas financieras de Corea del Sur con el ransomware Qilin.
Estos cambios pueden indicar un cambio táctico, ya que los grupos de hackers norcoreanos operan como afiliados de grupos RaaS existentes en lugar de desarrollar herramientas, dijo la compañía a Hacker News.
«El motivo es probablemente el pragmatismo», dijo Dick O’Brien, analista jefe de inteligencia de Symantec y el equipo Threat Hunter de Carbon Black. «¿Por qué tomarse la molestia de desarrollar su propia carga útil de ransomware cuando puede utilizar amenazas comprobadas como Medusa o Qilin? Es posible que hayan decidido que los beneficios superan los costos en términos de tarifas de afiliados».
La campaña de ransomware Medusa de Lazarus Group incluye el uso de una variedad de herramientas.
RP_Proxy, la utilidad proxy personalizada Mimikatz, el programa de volcado de credenciales disponible públicamente Comebacker, la puerta trasera personalizada InfoHook utilizada exclusivamente por actores de amenazas, el ladrón de información BLINDINGCAN (también conocido como AIRDRY o ZetaNile) previamente identificado para usarse junto con Comebacker, el troyano de acceso remoto ChromeStealer, una herramienta para extraer contraseñas guardadas del navegador Chrome
A pesar de que este ataque de extorsión refleja ataques anteriores de Andariel, esta actividad no está asociada con ningún subgrupo específico de Lazarus.
«El cambio a Medusa muestra que la voraz participación de Corea del Norte en el cibercrimen continúa sin cesar», dijo la compañía. «Los funcionarios norcoreanos parecen no dudar en atacar a organizaciones estadounidenses. Algunas organizaciones de delitos cibernéticos afirman que evitan atacar a instituciones médicas debido al daño potencial a su reputación, pero el Sr. Lazarus parece no tener restricciones».
Source link
