VOLVER A NOTICIAS
Última Hora

El Grupo Lazarus Despliega Ransomware Medusa en Ciberataques a Salud en Medio Oriente y EE.UU.

3 min de lecturaFuente: The Hacker News

Investigadores descubren al grupo norcoreano Lazarus utilizando ransomware Medusa en ataques a entidades sanitarias en EE.UU. y Medio Oriente, con tácticas de doble extorsión.

El Grupo Lazarus Utiliza Ransomware Medusa en Ciberataques Dirigidos

Investigadores de seguridad de Symantec’s Threat Hunter Team y Carbon Black han identificado al Grupo Lazarus, vinculado a Corea del Norte (también rastreado como Diamond Sleet y Pompilus), desplegando ransomware Medusa en un reciente ciberataque contra una entidad no identificada en el Medio Oriente. La división de inteligencia de amenazas de Broadcom también confirmó un ataque fallido de los mismos actores contra una organización de salud en EE.UU., lo que subraya la expansión del enfoque operativo del grupo.

Detalles Técnicos del Ataque

Aunque los indicadores específicos de compromiso (IOCs) y las tácticas, técnicas y procedimientos (TTPs) no fueron revelados en el informe, el uso del ransomware Medusa coincide con la evolución del arsenal del Grupo Lazarus. Medusa, una cepa de ransomware observada por primera vez en 2021, es conocida por sus tácticas de doble extorsión, cifrando los datos de las víctimas mientras exfiltra información sensible para presionar a los objetivos y lograr el pago de rescates. El giro del grupo hacia operaciones de ransomware marca un distanciamiento de su enfoque tradicional en espionaje patrocinado por estados y robo financiero, sugiriendo una posible diversificación de motivos.

El Grupo Lazarus tiene un historial de ataques de alto perfil, incluyendo el brote de ransomware WannaCry en 2017, el robo al Banco de Bangladesh en 2016 y el hurto de criptomonedas en el puente Ronin en 2022. Su pivot hacia el ransomware en sectores críticos como salud e infraestructura en el Medio Oriente genera preocupación sobre la adaptabilidad del grupo y las implicaciones más amplias para las defensas de ciberseguridad.

Análisis de Impacto

El ataque a organizaciones de salud es particularmente alarmante debido a la vulnerabilidad del sector a interrupciones operativas y a la sensibilidad de los datos de los pacientes. Incluso los ataques fallidos pueden servir como reconocimiento para campañas futuras, lo que podría derivar en filtraciones de datos, pérdidas financieras o interrupciones del servicio. El Medio Oriente, una región cada vez más blanco de actores de amenazas alineados con estados, enfrenta riesgos elevados a medida que las tensiones geopolíticas impulsan la escalada de la ciberguerra.

Para los equipos de seguridad, este incidente destaca la necesidad de monitoreo mejorado de las TTPs de ransomware, especialmente aquellas asociadas con grupos de amenazas persistentes avanzadas (APT). Dada la sofisticación del Grupo Lazarus, los defensores deben priorizar:

  • Soluciones de detección y respuesta en endpoints (EDR) para identificar comportamientos anómalos.
  • Segmentación de red para limitar el movimiento lateral en caso de una brecha.
  • Copias de seguridad regulares y almacenamiento inmutable para mitigar el impacto del ransomware.
  • Intercambio de inteligencia de amenazas para mantenerse al tanto de los vectores de ataque emergentes.

Recomendaciones para las Organizaciones

  1. Gestión de Parches: Asegurar que todos los sistemas estén actualizados para abordar vulnerabilidades conocidas, particularmente aquellas explotadas por el Grupo Lazarus en campañas anteriores (ej. CVE-2023-42793, CVE-2022-47966).
  2. Capacitación de Usuarios: Realizar simulaciones de phishing y programas de concienciación en seguridad para reducir el riesgo de acceso inicial mediante ingeniería social.
  3. Planificación de Respuesta a Incidentes: Desarrollar y probar manuales específicos para ransomware con el fin de minimizar el tiempo de inactividad y la pérdida de datos.
  4. Arquitectura Zero Trust: Implementar acceso de mínimo privilegio y autenticación multifactor (MFA) para fortalecer las defensas contra ataques basados en credenciales.

A medida que el Grupo Lazarus continúa refinando sus tácticas, las organizaciones en sectores de alto riesgo deben mantenerse vigilantes. La convergencia de APTs patrocinados por estados y operaciones de ransomware subraya la necesidad de una postura de seguridad proactiva y basada en inteligencia.

Compartir

TwitterLinkedIn