ZURÜCK ZU NACHRICHTEN
Eilmeldung

Lazarus-Gruppe setzt Medusa-Ransomware in Cyberangriffen auf Gesundheitswesen im Nahen Osten und den USA ein

3 Min. LesezeitQuelle: The Hacker News

Sicherheitsforscher enthüllen, wie die nordkoreanische Lazarus-Gruppe Medusa-Ransomware in Angriffen auf Gesundheitsorganisationen nutzt – mit alarmierenden Folgen für die Cybersicherheit.

Lazarus-Gruppe nutzt Medusa-Ransomware in gezielten Cyberangriffen

Sicherheitsforscher von Symantecs Threat Hunter Team und Carbon Black haben identifiziert, dass die mit Nordkorea verbundene Lazarus-Gruppe (auch bekannt als Diamond Sleet und Pompilus) in einem kürzlichen Cyberangriff Medusa-Ransomware gegen eine nicht namentlich genannte Einrichtung im Nahen Osten eingesetzt hat. Die Threat-Intelligence-Abteilung von Broadcom bestätigte zudem einen erfolglosen Angriff derselben Akteure auf eine US-amerikanische Gesundheitsorganisation, was die zunehmende operative Ausrichtung der Gruppe unterstreicht.

Technische Details des Angriffs

Obwohl spezifische Indicators of Compromise (IOCs) sowie Taktiken, Techniken und Verfahren (TTPs) in dem Bericht nicht offengelegt wurden, steht der Einsatz von Medusa-Ransomware im Einklang mit der sich weiterentwickelnden Toolbox der Lazarus-Gruppe. Medusa, ein erstmals 2021 beobachteter Ransomware-Stamm, ist für seine Doppel-Erpressungstaktiken bekannt: Neben der Verschlüsselung von Opferdaten werden sensible Informationen exfiltriert, um Druck auf die Ziele auszuüben und Lösegeldzahlungen zu erzwingen. Der Wechsel der Gruppe zu Ransomware-Operationen markiert eine Abkehr von ihrem traditionellen Fokus auf staatlich geförderte Spionage und Finanzdiebstahl und deutet auf eine mögliche Diversifizierung ihrer Motive hin.

Die Lazarus-Gruppe hat eine Geschichte hochkarätiger Angriffe, darunter der WannaCry-Ransomware-Ausbruch 2017, der Banküberfall auf die Bangladesh Bank 2016 und der Kryptowährungsdiebstahl an der Ronin Bridge 2022. Ihr Pivot zu Ransomware in kritischen Sektoren wie dem Gesundheitswesen und der Infrastruktur im Nahen Osten wirft Fragen nach der Anpassungsfähigkeit der Gruppe und den weiterreichenden Auswirkungen auf die Cybersicherheitsabwehr auf.

Auswirkungsanalyse

Die gezielte Auswahl von Gesundheitsorganisationen ist besonders alarmierend, da der Sektor anfällig für betriebliche Störungen ist und sensible Patientendaten verarbeitet. Selbst erfolglose Angriffe können als Aufklärung für zukünftige Kampagnen dienen und möglicherweise zu Datenlecks, finanziellen Verlusten oder Dienstausfällen führen. Der Nahe Osten, eine Region, die zunehmend von staatlich unterstützten Bedrohungsakteuren ins Visier genommen wird, sieht sich erhöhten Risiken ausgesetzt, da geopolitische Spannungen die Eskalation von Cyberkriegführung vorantreiben.

Für Sicherheitsteams unterstreicht der Vorfall die Notwendigkeit einer verstärkten Überwachung von Ransomware-TTPs, insbesondere solcher, die mit Advanced Persistent Threat (APT)-Gruppen in Verbindung stehen. Angesichts der Raffinesse der Lazarus-Gruppe sollten Verteidiger folgende Maßnahmen priorisieren:

  • Endpoint Detection and Response (EDR)-Lösungen zur Identifizierung anomalen Verhaltens.
  • Netzwerksegmentierung, um laterale Bewegungen im Falle eines Einbruchs zu begrenzen.
  • Regelmäßige Backups und unveränderliche Speicherlösungen, um die Auswirkungen von Ransomware zu mildern.
  • Threat-Intelligence-Austausch, um über neue Angriffsvektoren informiert zu bleiben.

Empfehlungen für Organisationen

  1. Patch-Management: Stellen Sie sicher, dass alle Systeme aktualisiert sind, um bekannte Schwachstellen zu beheben – insbesondere solche, die von der Lazarus-Gruppe in früheren Kampagnen ausgenutzt wurden (z. B. CVE-2023-42793, CVE-2022-47966).
  2. Schulungen für Mitarbeiter: Führen Sie Phishing-Simulationen und Sicherheitsbewusstseinsprogramme durch, um das Risiko eines initialen Zugriffs durch Social Engineering zu verringern.
  3. Incident-Response-Planung: Entwickeln und testen Sie Ransomware-spezifische Playbooks, um Ausfallzeiten und Datenverluste zu minimieren.
  4. Zero-Trust-Architektur: Implementieren Sie Least-Privilege-Zugriff und Multi-Faktor-Authentifizierung (MFA), um die Abwehr gegen angriffe auf Basis gestohlener Anmeldedaten zu stärken.

Da die Lazarus-Gruppe ihre Taktiken weiter verfeinert, müssen Organisationen in hochriskanten Sektoren wachsam bleiben. Die Konvergenz von staatlich unterstützten APTs und Ransomware-Operationen unterstreicht die Notwendigkeit einer proaktiven, intelligence-gestützten Sicherheitsstrategie.

Teilen

TwitterLinkedIn