北朝鮮のLazarusグループ、米医療機関をMedusaランサムウェアで攻撃

北朝鮮のAPTグループが米医療機関をMedusaランサムウェアで標的とする攻撃を実行

セキュリティ研究者らは、米国の医療機関を標的とした最近のランサムウェア攻撃を、北朝鮮政府支援の高度な脅威アクターであるLazarusグループに帰属させています。同グループは、Medusaランサムウェアを用いた恐喝キャンペーンを展開しており、そのサイバー犯罪活動の深刻な拡大が懸念されています。

攻撃の主要詳細

• 脅威アクター: Lazarusグループ（APT38、Hidden Cobra）
• 標的セクター: 米国の医療機関
• マルウェア: Medusaランサムウェア（MedusaLockerとは異なる）
• 動機: 恐喝による金銭的利益の獲得
• 帰属: 複数のサイバーセキュリティ企業により確認済み

技術分析

高度な持続的脅威（APT）能力で知られるLazarusグループは、これまで金融窃取、スパイ活動、破壊的攻撃に注力してきました。Medusaランサムウェアの使用は、直接的な恐喝戦術へのシフトを示しており、北朝鮮政権の収益源確保という広範な目的と一致しています。

Medusaランサムウェアは2021年に初めて確認された**RaaS（Ransomware-as-a-Service）**の亜種で、被害者のデータを暗号化し、仮想通貨での支払いを要求します。他のランサムウェアファミリーほど広範に展開されているわけではありませんが、国家支援のアクターによる使用は、二重脅迫（暗号化前にデータを窃取し、被害者にさらなる圧力をかける手法）の可能性について懸念を高めています。

セキュリティ研究者によると、Lazarusグループはフィッシングキャンペーンや、公開システムの未修正の脆弱性（例：CVE-2023-XXXX）を悪用して初期アクセスを獲得した可能性が高いとされています。ネットワーク内に侵入後、グループはLiving-off-the-Land（LotL）技術を活用し、PowerShellやPsExecなどの正規ツールを使用して横展開を行い、ランサムウェアを展開します。

医療機関への影響

米国の医療機関が標的とされたことは、以下の理由から特に警戒が必要です：

• 重要インフラのリスク: 医療サービスの混乱は、生命に関わる結果を招く可能性があります。
• データの機密性: 患者記録や医療データはダークウェブで高い価値を持ちます。
• 法的リスク: 侵害が発生した場合、HIPAA違反に問われ、多額の罰金が科される可能性があります。

防御策の推奨事項

医療セクターのセキュリティチームは、以下の対策を優先的に実施することが推奨されます：

1. パッチ管理: 公開システムの既知の脆弱性（例：CVE-2023-XXXX）に対するセキュリティアップデートを適用。
2. フィッシング対策: 不審なメールを認識し、報告するためのスタッフ教育を実施。
3. エンドポイント検知: LotL技術を検出するためのEDR/XDRソリューションを導入。
4. ネットワークセグメンテーション: 重要システムを分離し、横展開を制限。
5. バックアップ戦略: ランサムウェア攻撃からの復旧のため、オフラインかつ暗号化されたバックアップを維持。

結論

Medusaランサムウェア攻撃がLazarusグループに帰属したことは、国家支援のサイバー犯罪者がもたらす脅威の拡大を浮き彫りにしています。医療機関は警戒を怠らず、多層防御アプローチを採用し、金銭目的の攻撃者や国家レベルの脅威アクターからのリスクを軽減する必要があります。

詳細については、BleepingComputerの原文レポートを参照してください。