Lazarus Group setzt Medusa-Ransomware in US-Gesundheitssektor ein

Nordkoreanische APT-Gruppe zielt mit Medusa-Ransomware auf US-Gesundheitssektor

Sicherheitsforscher haben eine aktuelle Welle von Ransomware-Angriffen auf US-Gesundheitseinrichtungen der Lazarus Group zugeschrieben, einem hochentwickelten Bedrohungsakteur, der von der nordkoreanischen Regierung unterstützt wird. Die Gruppe setzt in Erpressungskampagnen Medusa-Ransomware ein, was eine besorgniserregende Eskalation ihrer cyberkriminellen Aktivitäten darstellt.

Wichtige Details zum Angriff

• Bedrohungsakteur: Lazarus Group (APT38, Hidden Cobra)
• Zielsektor: US-Gesundheitseinrichtungen
• Malware: Medusa-Ransomware (nicht zu verwechseln mit MedusaLocker)
• Motivation: Finanzielle Bereicherung durch Erpressung
• Attribution: Bestätigt durch mehrere Cybersicherheitsunternehmen

Technische Analyse

Die Lazarus Group, bekannt für ihre fortgeschrittenen Advanced Persistent Threat (APT)-Fähigkeiten, hat sich historisch auf Finanzdiebstahl, Spionage und disruptive Angriffe konzentriert. Der Einsatz von Medusa-Ransomware markiert eine Verschiebung hin zu direkten Erpressungstaktiken, was mit den übergeordneten Zielen der Gruppe übereinstimmt, Einnahmen für das nordkoreanische Regime zu generieren.

Medusa-Ransomware, erstmals 2021 identifiziert, ist eine Ransomware-as-a-Service (RaaS)-Variante, die Opferdaten verschlüsselt und Zahlungen in Kryptowährung fordert. Obwohl sie nicht so weit verbreitet ist wie andere Ransomware-Familien, wirft ihr Einsatz durch einen staatlich unterstützten Akteur Bedenken hinsichtlich der Möglichkeit von Doppel-Erpressung auf – bei der Angreifer Daten vor der Verschlüsselung exfiltrieren, um Opfer zusätzlich unter Druck zu setzen.

Sicherheitsforscher stellen fest, dass die Lazarus Group wahrscheinlich durch Phishing-Kampagnen oder die Ausnutzung ungepatchter Schwachstellen in öffentlich zugänglichen Systemen initialen Zugang erlangt hat. Sobald sie sich im Netzwerk befinden, setzt die Gruppe Living-off-the-Land (LotL)-Techniken ein, indem sie legitime Tools wie PowerShell und PsExec nutzt, um sich lateral zu bewegen und die Ransomware zu verbreiten.

Auswirkungen auf Gesundheitseinrichtungen

Die gezielten Angriffe auf US-Gesundheitseinrichtungen sind besonders alarmierend aufgrund von:

• Risiken für kritische Infrastruktur: Störungen im Gesundheitswesen können lebensbedrohliche Folgen haben.
• Datenempfindlichkeit: Patientenakten und medizinische Daten sind auf dem Darknet hochwertige Ware.
• Regulatorische Konsequenzen: Datenschutzverletzungen können zu HIPAA-Verstößen und erheblichen Geldstrafen führen.

Empfehlungen zur Verteidigung

Sicherheitsteams im Gesundheitssektor sollten folgende Maßnahmen priorisieren:

1. Patch-Management: Sicherheitsupdates für bekannte Schwachstellen (z. B. CVE-2023-XXXX) in öffentlich zugänglichen Systemen zeitnah einspielen.
2. Phishing-Aufklärung: Mitarbeiter schulen, verdächtige E-Mails zu erkennen und zu melden.
3. Endpoint-Erkennung: EDR/XDR-Lösungen implementieren, um LotL-Techniken zu erkennen.
4. Netzwerksegmentierung: Laterale Bewegungen durch Isolierung kritischer Systeme einschränken.
5. Backup-Strategie: Offline, verschlüsselte Backups vorhalten, um sich von Ransomware-Angriffen zu erholen.

Fazit

Die Zuordnung der Medusa-Ransomware-Angriffe zur Lazarus Group unterstreicht die wachsende Bedrohung durch staatlich geförderte Cyberkriminelle. Gesundheitseinrichtungen müssen wachsam bleiben und einen Defense-in-Depth-Ansatz verfolgen, um Risiken durch sowohl finanziell motivierte als auch staatlich unterstützte Akteure zu mindern.

Weitere Details finden Sie im Originalbericht von BleepingComputer.