Cybersicherheitsforscher haben technische Überschneidungen zwischen Aktivitäten identifiziert, die der Lazarus-Gruppe zugeschrieben werden, einem Bedrohungsakteur, der weitgehend mit der nordkoreanischen Regierung verbunden ist, und dem Einsatz der Medusa-Ransomware-Variante. Die Ergebnisse basieren auf forensischer Analyse von Malware-Proben und der unterstützenden Infrastruktur, die bei jüngsten Vorfällen beobachtet wurde.
Medusa-Ransomware, erstmals 2021 entdeckt, wurde bei Angriffen auf Organisationen in mehreren Sektoren eingesetzt. Analysten, die neuere Varianten untersuchten, fanden Ähnlichkeiten in der Codestruktur, den Verschlüsselungsmechanismen sowie der Befehls- und Kontrollinfrastruktur, die mit Tools übereinstimmen, die zuvor mit Lazarus-Operationen in Verbindung gebracht wurden. Die Forscher sagten, die Überschneidung schließe wiederverwendete Komponenten und Muster darin, wie Systeme nach dem ersten Zugriff kompromittiert und verwaltet wurden.
Sicherheitsfirmen, die die Aktivitäten verfolgen, stellten fest, dass Lazarus historisch eine Reihe von Cyberoperationen durchgeführt hat, darunter finanziell motivierte Ransomware-Kampagnen und Eindringlinge gegen Finanzinstitute und digitale Anlageplattformen. In den mit Medusa verbundenen Fällen beobachteten die Ermittler Verhaltensweisen, die mit früheren Lazarus-Aktivitäten übereinstimmten, darunter gestufte Datenexfiltration vor Dateiverschlüsselung und Lösegeldforderungen in Kryptowährungen.
Opfer von Medusa-Vorfällen berichteten, dass Angreifer vernetzte Systeme verschlüsselt und Lösegeldbescheide hinterließen, in denen sie angewiesen wurden, die Betreiber für Zahlungsanweisungen zu kontaktieren. In einigen Fällen wurden gestohlene Daten über Leak-Seiten veröffentlicht oder mit der Veröffentlichung gedroht. Forscher sagten, dass die Infrastruktur, die bestimmte Medusa-Angriffe unterstützte, Konfigurationsähnlichkeiten mit der Infrastruktur zeigte, die in früheren Lazarus-Kampagnen verwendet wurde.
Die Forscher warnten, dass technische Überschneidungen nicht zwangsläufig bedeuten, dass alle Medusa-Operationen zentral von Lazarus gesteuert werden. Stattdessen deuten die Beweise darauf hin, dass Akteure, die mit Lazarus verbunden sind oder Ressourcen mit ihm teilen, an zumindest einigen Deployments der Ransomware beteiligt sein könnten.
Die Ergebnisse sind Teil der laufenden Überwachung von Ransomware-Bedrohungen und staatlich verbundenen Cyberaktivitäten. Sicherheitsanalysten sagten, sie würden weiterhin Malware-Proben und Infrastruktur untersuchen, um die Beziehung zwischen Medusa-Betreibern und zuvor identifizierten Lazarus-Aktivitäten zu klären.