Pesquisadores de cibersegurança identificaram sobreposições técnicas entre atividades atribuídas ao Grupo Lazarus, um ator de ameaça amplamente ligado ao governo norte-coreano, e as implantações da cepa de ransomware Medusa. Os achados são baseados em análises forenses de amostras de malware e infraestrutura de suporte observadas em incidentes recentes.
O ransomware Medusa, detectado pela primeira vez em 2021, tem sido usado em ataques contra organizações em vários setores. Analistas que examinaram variantes mais recentes encontraram semelhanças na estrutura do código, mecanismos de criptografia e infraestrutura de comando e controle que se alinham com ferramentas anteriormente associadas às operações do Lazarus. Os pesquisadores disseram que a sobreposição inclui componentes reutilizados e padrões em como os sistemas foram comprometidos e gerenciados após o acesso inicial.
Empresas de segurança que acompanham a atividade observaram que a Lazarus historicamente conduziu uma variedade de operações cibernéticas, incluindo campanhas de ransomware motivadas financeiramente e intrusões direcionadas a instituições financeiras e plataformas de ativos digitais. Nos casos ligados à Medusa, os investigadores observaram comportamentos consistentes com atividades anteriores da Lazarus, incluindo exfiltração de dados encenada antes da criptografia de arquivos e exigências de resgate emitidas em criptomoedas.
Vítimas dos incidentes da Medusa relataram que os atacantes criptografaram sistemas em rede e deixaram bilhetes de resgate orientando-os a entrar em contato com os operadores para obter instruções de pagamento. Em alguns casos, dados roubados foram publicados ou ameaçados de serem divulgados por meio de sites de vazamento. Pesquisadores disseram que a infraestrutura que suporta certos ataques Medusa apresentava semelhanças de configuração com a infraestrutura usada em campanhas anteriores de Lazarus.
Os pesquisadores alertaram que a sobreposição técnica não significa necessariamente que todas as operações da Medusa sejam dirigidas centralmente por Lázaro. Em vez disso, as evidências sugerem que atores ligados ou compartilhando recursos com o Lazarus podem estar envolvidos em pelo menos algumas implantações do ransomware.
As descobertas fazem parte do monitoramento contínuo de ameaças de ransomware e de atividades cibernéticas ligadas ao Estado. Analistas de segurança disseram que continuarão examinando amostras de malware e infraestrutura para esclarecer a relação entre os operadores da Medusa e a atividade Lazarus previamente identificada.