Группа Lazarus использует Medusa Ransomware в кибератаках на здравоохранение на Ближнем Востоке и в США

Группа Lazarus применяет Medusa Ransomware в целевых кибератаках

Исследователи из Symantec’s Threat Hunter Team и Carbon Black выявили, что северокорейская группа Lazarus (также известная как Diamond Sleet и Pompilus) использует Medusa Ransomware в недавней кибератаке на неназванную организацию на Ближнем Востоке. Разведывательное подразделение Broadcom также подтвердило неудачную попытку атаки тех же злоумышленников на медицинскую организацию в США, что подчеркивает расширение операционной активности группы.

Технические детали атаки

Хотя конкретные индикаторы компрометации (IOC) и тактики, техники и процедуры (TTP) в отчете не раскрывались, использование Medusa Ransomware соответствует эволюции арсенала Lazarus Group. Штамм Medusa, впервые обнаруженный в 2021 году, известен своими тактиками двойного вымогательства: шифрованием данных жертвы с одновременным хищением конфиденциальной информации для давления на пострадавших. Переход группы к операциям с использованием программ-вымогателей знаменует отход от традиционной направленности на государственный шпионаж и финансовые кражи, что может свидетельствовать о диверсификации мотивов.

Группа Lazarus имеет историю громких атак, включая эпидемию WannaCry в 2017 году, ограбление Бангладешского банка в 2016 году и кражу криптовалюты через Ronin Bridge в 2022 году. Их переход к атакам на критически важные секторы, такие как здравоохранение и инфраструктура Ближнего Востока, вызывает обеспокоенность адаптивностью группы и более широкими последствиями для кибербезопасности.

Анализ последствий

Атаки на медицинские организации вызывают особую тревогу из-за уязвимости сектора к сбоям в работе и чувствительности данных пациентов. Даже неудачные атаки могут служить разведкой для будущих кампаний, потенциально приводя к утечкам данных, финансовым потерям или сбоям в обслуживании. Ближний Восток, регион, который все чаще становится мишенью для поддерживаемых государствами киберугроз, сталкивается с повышенными рисками на фоне эскалации кибервойн из-за геополитической напряженности.

Для команд по кибербезопасности этот инцидент подчеркивает необходимость усиленного мониторинга TTP, связанных с программами-вымогателями, особенно тех, которые ассоциируются с группами продвинутых постоянных угроз (APT). Учитывая уровень подготовки Lazarus Group, защитникам следует уделить приоритетное внимание:

• Решениям для обнаружения и реагирования на угрозы на конечных точках (EDR) для выявления аномального поведения.
• Сегментации сети для ограничения латерального перемещения в случае взлома.
• Регулярному резервному копированию и неизменяемым хранилищам для снижения последствий атак программ-вымогателей.
• Обмену разведданными об угрозах для своевременного реагирования на новые векторы атак.

Рекомендации для организаций

1. Управление патчами: Убедитесь, что все системы обновлены для устранения известных уязвимостей, особенно тех, которые ранее эксплуатировались группой Lazarus (например, CVE-2023-42793, CVE-2022-47966).
2. Обучение пользователей: Проводите тренинги по фишингу и программы повышения осведомленности о безопасности для снижения риска первоначального доступа через социальную инженерию.
3. Планирование реагирования на инциденты: Разрабатывайте и тестируйте планы реагирования на атаки программ-вымогателей для минимизации времени простоя и потерь данных.
4. Архитектура Zero Trust: Внедряйте принцип минимальных привилегий и многофакторную аутентификацию (MFA) для укрепления защиты от атак, основанных на компрометации учетных данных.

Поскольку группа Lazarus продолжает совершенствовать свои тактики, организациям в высокорисковых секторах необходимо сохранять бдительность. Сближение государственных APT-групп и операций с программами-вымогателями подчеркивает необходимость проактивной, разведданной безопасности.