Группа Lazarus развертывает Medusa Ransomware в кибератаках на систему здравоохранения США
Эксперты по кибербезопасности связывают волну атак с использованием Medusa Ransomware на медицинские учреждения США с северокорейской APT-группой Lazarus. Узнайте о тактиках, угрозах и мерах защиты.
Северокорейская APT-группа атакует систему здравоохранения США с помощью Medusa Ransomware
Эксперты по кибербезопасности связывают недавнюю волну атак с использованием программ-вымогателей на организации здравоохранения США с группой Lazarus — изощренным киберпреступным формированием, поддерживаемым правительством Северной Кореи. Группа развертывает Medusa ransomware в кампаниях по вымогательству, что свидетельствует о тревожной эскалации её киберпреступной деятельности.
Основные детали атаки
- Киберпреступная группа: Lazarus Group (APT38, Hidden Cobra)
- Целевой сектор: Организации здравоохранения США
- Вредоносное ПО: Medusa ransomware (не путать с MedusaLocker)
- Мотив: Финансовая выгода через вымогательство
- Атрибуция: Подтверждена несколькими компаниями в сфере кибербезопасности
Технический анализ
Группа Lazarus, известная своими возможностями в области расширенных постоянных угроз (APT), исторически фокусировалась на финансовых кражах, шпионаже и деструктивных атаках. Использование Medusa ransomware знаменует собой переход к тактике прямого вымогательства, что соответствует более широким целям группы по генерации доходов для северокорейского режима.
Medusa ransomware, впервые обнаруженная в 2021 году, представляет собой вариант RaaS (Ransomware-as-a-Service), который шифрует данные жертв и требует оплаты в криптовалюте. Хотя она не так широко распространена, как другие семейства программ-вымогателей, её использование государственным субъектом вызывает опасения относительно возможности двойного вымогательства — когда злоумышленники похищают данные перед шифрованием, чтобы дополнительно оказывать давление на жертв.
Эксперты по кибербезопасности отмечают, что группа Lazarus, вероятно, получила первоначальный доступ через фишинговые кампании или эксплуатацию незакрытых уязвимостей в публичных системах. Попав в сеть, группа применяет техники «жизнедеятельности за счёт земли» (LotL), используя легитимные инструменты, такие как PowerShell и PsExec, для горизонтального перемещения и развёртывания программ-вымогателей.
Влияние на медицинские организации
Нацеленность на учреждения здравоохранения США вызывает особую тревогу по следующим причинам:
- Риски для критически важной инфраструктуры: Сбои в работе медицинских услуг могут иметь угрожающие жизни последствия.
- Чувствительность данных: Медицинские записи и данные пациентов имеют высокую ценность на даркнете.
- Регуляторные последствия: Нарушения могут привести к нарушениям HIPAA и значительным финансовым штрафам.
Рекомендации по защите
Командам безопасности в сфере здравоохранения следует уделить первоочередное внимание следующим мерам по снижению рисков:
- Управление патчами: Устанавливайте обновления безопасности для известных уязвимостей (например, CVE-2023-XXXX) в публичных системах.
- Осведомлённость о фишинге: Обучайте персонал распознавать и сообщать о подозрительных письмах.
- Обнаружение на конечных точках: Развёртывайте решения EDR/XDR для выявления техник LotL.
- Сегментация сети: Ограничивайте горизонтальное перемещение, изолируя критически важные системы.
- Стратегия резервного копирования: Поддерживайте офлайн-резервные копии с шифрованием для восстановления после атак программ-вымогателей.
Заключение
Атрибуция атак с использованием Medusa ransomware группе Lazarus подчёркивает растущую угрозу, исходящую от киберпреступников, спонсируемых государствами. Организациям здравоохранения необходимо сохранять бдительность, применяя многоуровневый подход к защите, чтобы снизить риски как от финансово мотивированных, так и от государственных киберпреступников.
Для получения дополнительной информации обратитесь к оригинальному отчёту BleepingComputer.