Les chercheurs en cybersécurité ont identifié des chevauchements techniques entre les activités attribuées au groupe Lazarus, un acteur de menace largement lié au gouvernement nord-coréen, et les déploiements de la souche de ransomware Medusa. Les résultats sont basés sur une analyse médico-légale d’échantillons de logiciels malveillants et d’infrastructures de soutien observés lors d’incidents récents.
Le ransomware Medusa, détecté pour la première fois en 2021, a été utilisé dans des attaques contre des organisations dans plusieurs secteurs. Les analystes examinant les variantes plus récentes ont trouvé des similitudes dans la structure du code, les mécanismes de chiffrement et l’infrastructure de commandement et de contrôle qui correspondent aux outils précédemment associés aux opérations Lazarus. Les chercheurs ont indiqué que ce chevauchement inclut des composants réutilisés et des schémas dans la manière dont les systèmes ont été compromis et gérés après un accès initial.
Les sociétés de sécurité suivant ces activités ont noté que Lazarus a historiquement mené une série d’opérations cybernétiques, y compris des campagnes de ransomware à motivation financière et des intrusions ciblant les institutions financières et les plateformes d’actifs numériques. Dans les cas liés à Medusa, les enquêteurs ont observé des comportements cohérents avec des activités antérieures de Lazarus, notamment une exfiltration de données mise en scène avant le chiffrement des fichiers et des demandes de rançon émises en cryptomonnaie.
Les victimes des incidents Medusa ont rapporté que les attaquants ont chiffré les systèmes en réseau et laissé des notes de rançon leur demandant de contacter les opérateurs pour obtenir des instructions de paiement. Dans certains cas, des données volées ont été publiées ou menacées d’être publiées via des sites de fuites. Les chercheurs ont indiqué que l’infrastructure supportant certaines attaques Medusa présentait des similitudes de configuration avec celles utilisées lors des campagnes Lazarus précédentes.
Les chercheurs ont averti que le chevauchement technique ne signifie pas nécessairement que toutes les opérations de Méduse sont dirigées centralement par Lazarus. Au contraire, les preuves suggèrent que des acteurs liés ou partageant des ressources avec Lazarus pourraient être impliqués dans au moins certains déploiements du ransomware.
Ces résultats s’inscrivent dans le cadre d’une surveillance continue des menaces de ransomware et des cyberactivités liées à l’État. Les analystes de la sécurité ont déclaré qu’ils continueraient à examiner les échantillons de malwares et les infrastructures afin de clarifier la relation entre les opérateurs de Medusa et les activités Lazarus précédemment identifiées.