Cybersecurityonderzoekers hebben technische overlappingen vastgesteld tussen activiteiten die worden toegeschreven aan de Lazarus Group, een dreigingsactor die nauw verbonden is met de Noord-Koreaanse overheid, en de inzet van de Medusa-ransomwarevariant. De bevindingen zijn gebaseerd op forensische analyse van malwaremonsters en ondersteunende infrastructuur die in recente incidenten is waargenomen.
Medusa-ransomware, voor het eerst ontdekt in 2021, is gebruikt bij aanvallen op organisaties in meerdere sectoren. Analisten die nieuwere varianten onderzochten, vonden overeenkomsten in codestructuur, encryptiemechanismen en commando- en controle-infrastructuur die aansluiten bij tools die eerder met Lazarus-operaties werden geassocieerd. De onderzoekers zeiden dat de overlap hergebruikte componenten omvat en patronen in hoe systemen na de eerste toegang werden gecompromitteerd en beheerd.
Beveiligingsbedrijven die de activiteiten volgen, merkten op dat Lazarus historisch gezien een reeks cyberoperaties heeft uitgevoerd, waaronder financieel gemotiveerde ransomwarecampagnes en inbraken gericht op financiële instellingen en digitale activaplatforms. In de zaken die met Medusa zijn gelinkt, observeerden onderzoekers gedrag dat overeenkomt met eerdere Lazarus-activiteiten, waaronder gefaseerde data-exfiltratie vóór bestandsversleuteling en losgeldeisen die in cryptocurrency werden uitgegeven.
Slachtoffers van Medusa-incidenten meldden dat aanvallers netwerksystemen versleutelden en losgeldbrieven achterlieten waarin ze werden opgedragen contact op te nemen met operators voor betalingsinstructies. In sommige gevallen werden gestolen gegevens gepubliceerd of dreigden ze via leksites vrijgegeven te worden. Onderzoekers zeiden dat de infrastructuur die bepaalde Medusa-aanvallen ondersteunde configuratie-overeenkomsten vertoonde met de infrastructuur die in eerdere Lazarus-campagnes werd gebruikt.
De onderzoekers waarschuwden dat technische overlap niet per se betekent dat alle Medusa-operaties centraal door Lazarus worden aangestuurd. In plaats daarvan suggereert het bewijs dat actoren die verbonden zijn aan of middelen delen met Lazarus betrokken kunnen zijn bij ten minste enkele implementaties van de ransomware.
De bevindingen maken deel uit van voortdurende monitoring van ransomwaredreigingen en door staat gelinkte cyberactiviteiten. Beveiligingsanalisten zeiden dat ze malwaremonsters en infrastructuur zullen blijven onderzoeken om de relatie tussen Medusa-operators en eerder geïdentificeerde Lazarus-activiteiten te verduidelijken.