Siber güvenlik araştırmacıları, Kuzey Kore hükümetiyle geniş çapta bağlantılı bir tehdit aktörü olan Lazarus Group’a atfedilen faaliyetler ile Medusa fidye yazılımı sürünün dağıtımları arasında teknik örtüşmeler tespit etti. Bulgular, son olaylarda gözlemlenen zararlı yazılım örnekleri ve destekleyici altyapının adli analizine dayanmaktadır.
Medusa fidye yazılımı, ilk olarak 2021’de tespit edildi ve birçok sektördeki kuruluşlara yönelik saldırılarda kullanıldı. Yeni varyantları inceleyen analistler, kod yapısı, şifreleme mekanizmaları ve daha önce Lazarus operasyonlarıyla ilişkilendirilen araçlarla uyumlu komuta-kontrol altyapısında benzerlikler buldu. Araştırmacılar, bu örtüşmelerin yeniden kullanılan bileşenleri ve sistemlerin ilk erişimden sonra nasıl ele geçirildiği ve yönetildiği konusunda kalıpları içerdiğini belirtti.
Faaliyeti takip eden güvenlik firmaları, Lazarus’un tarihsel olarak finansal amaçlı fidye yazılımı kampanyaları ve finansal kurumları ile dijital varlık platformlarını hedef alan izinsiz saldırılar dahil olmak üzere çeşitli siber operasyonlar yürüttüğünü belirtti. Medusa ile bağlantılı vakalarda, soruşturmacılar dosya şifrelemeden önce sahnelenmiş veri sızdırımı ve kripto para ile yapılan fidye talepleri gibi önceki Lazarus faaliyetleriyle uyumlu davranışlar gözlemlediler.
Medusa olaylarının mağdurları, saldırganların ağ sistemlerini şifrelediğini ve ödeme talimatları için operatörlerle iletişime geçmeleri için fidye notları bıraktığını bildirdi. Bazı durumlarda, çalınan veriler yayımlanmış veya sızıntı siteleri aracılığıyla yayılma tehdidiyle karşılaşmıştır. Araştırmaçılar, belirli Medusa saldırılarını destekleyen altyapının önceki Lazarus kampanyalarında kullanılan altyapıya benzer yapılandırmalar gösterdiğini söyledi.
Araştırmacılar, teknik örtüşmelerin tüm Medusa operasyonlarının Lazarus tarafından merkezi olarak yönlendirildiği anlamına gelmediğini belirtti. Bunun yerine, kanıtlar, Lazarus ile bağlantılı veya onunla kaynak paylaşan aktörlerin en azından bazı fidye yazılımı dağıtımlarında yer alabileceğini gösteriyor.
Bulgular, fidye yazılımı tehditleri ve eyaletle bağlantılı siber faaliyetlerin sürekli izlenmesinin bir parçası. Güvenlik analistleri, Medusa operatörleri ile daha önce tespit edilen Lazarus faaliyetleri arasındaki ilişkiyi netleştirmek için zararlı yazılım örnekleri ve altyapıyı incelemeye devam edeceklerini söylediler.