I ricercatori di cybersecurity hanno identificato sovrapposizioni tecniche tra attività attribuite al Gruppo Lazarus, un attore minaccioso ampiamente legato al governo nordcoreano, e le implementazioni della variante ransomware Medusa. I risultati si basano sull’analisi forense di campioni di malware e infrastrutture di supporto osservate in recenti incidenti.
Il ransomware Medusa, rilevato per la prima volta nel 2021, è stato utilizzato in attacchi contro organizzazioni di diversi settori. Gli analisti che hanno esaminato varianti più recenti hanno riscontrato somiglianze nella struttura del codice, nei meccanismi di crittografia e nell’infrastruttura di comando e controllo che si allineano con strumenti precedentemente associati alle operazioni di Lazarus. I ricercatori hanno affermato che la sovrapposizione include componenti riutilizzati e modelli nel modo in cui i sistemi sono stati compromessi e gestiti dopo l’accesso iniziale.
Le società di sicurezza che monitorano l’attività hanno notato che Lazarus ha storicamente condotto una serie di operazioni informatiche, incluse campagne ransomware a motivazione finanziaria e intrusioni rivolte a istituzioni finanziarie e piattaforme di asset digitali. Nei casi collegati a Medusa, gli investigatori hanno osservato comportamenti coerenti con le precedenti attività di Lazarus, inclusa l’esfiltrazione di dati in scena prima della crittografia dei file e richieste di riscatto emesse in criptovalute.
Le vittime degli incidenti Medusa hanno riferito che gli aggressori hanno criptato i sistemi in rete e lasciato biglietti di riscatto per chiedere loro di contattare gli operatori per istruzioni di pagamento. In alcuni casi, dati rubati sono stati pubblicati o minacciati di essere rilasciati tramite siti di fuga di notizie. I ricercatori hanno affermato che l’infrastruttura che supporta alcuni attacchi Medusa mostrava somiglianze di configurazione con quelle usate nelle precedenti campagne di Lazarus.
I ricercatori hanno avvertito che la sovrapposizione tecnica non significa necessariamente che tutte le operazioni di Medusa siano dirette centralmente da Lazarus. Invece, le prove suggeriscono che attori collegati o condividono risorse con Lazarus potrebbero essere coinvolti in almeno alcune implementazioni del ransomware.
I risultati fanno parte del monitoraggio continuo delle minacce ransomware e delle attività informatiche legate allo Stato. Gli analisti di sicurezza hanno dichiarato che continueranno a esaminare i campioni di malware e le infrastrutture per chiarire il rapporto tra gli operatori di Medusa e le attività di Lazarus precedentemente identificate.