Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il gruppo di hacker Lazarus Group, legato alla Corea del Nord, ha ampliato il suo toolkit e ha iniziato a utilizzare il ransomware Medusa negli attacchi contro organizzazioni in Medio Oriente e negli Stati Uniti. Lo hanno segnalato gli specialisti di Symantec e Carbon Black, entrambe appartenenti a Broadcom, dopo aver analizzato i recenti incidenti.
I dati disponibili indicano che Medusa è stato impiegato in un attacco contro un’entità anonima situata in Medio Oriente. Un’operazione simile, orchestrata dallo stesso gruppo, ha avuto come obiettivo un’organizzazione sanitaria negli Stati Uniti, ma purtroppo per loro, l’attacco non è andato a buon fine.
Il modello di business di Medusa è basato sul ransomware-as-a-service, ed è stato messo a disposizione da un gruppo di malintenzionati conosciuto come Spearwing nel 2023. Dalla sua creazione, sono stati riportati dagli operatori un totale di oltre 366 attacchi.
Un’analisi del sito di Medusa ha rivelato che almeno quattro organizzazioni americane legate al settore sanitario e no-profit sono state prese di mira dall’inizio di novembre 2025. Tra queste, un’organizzazione per la salute mentale e un istituto scolastico per bambini con autismo.
Non è chiaro se dietro tutti gli attacchi ci siano operatori nordcoreani o se alcuni siano collegati ad altri partner di Medusa. La richiesta media durante questo periodo è stata di circa 260.000 dollari.
L’uso del ransomware da parte di Lazarus Group non è una novità. Nel 2021, una delle sue unità, nota come Andariel, ha attaccato aziende in Corea del Sud, Giappone e Stati Uniti utilizzando le proprie famiglie di malware, tra cui SHATTEREDGLASS, Maui e H0lyGh0st. Nell’autunno del 2024, lo stesso gruppo è stato collegato al ransomware Play , segnando un passaggio all’utilizzo di soluzioni standard anziché allo sviluppo di codice personalizzato.
Un cambiamento simile è stato osservato in un altro gruppo nordcoreano, Moonstone Sleet. Secondo Bitdefender, il gruppo, che in precedenza aveva distribuito il proprio ransomware, FakePenny, potrebbe aver attaccato istituti finanziari sudcoreani utilizzando Qilin. Gli esperti attribuiscono questo cambiamento a un calcolo pragmatico: l’utilizzo di strumenti collaudati riduce i costi di sviluppo e velocizza le operazioni, anche dopo aver contabilizzato i pagamenti ai partner.
Nella campagna Medusa, Lazarus Group ha utilizzato sia strumenti proprietari che pubblicamente disponibili. Tra questi, l’utility proxy RP_Proxy, la backdoor Comebacker, l’infostealer InfoHook, il trojan di accesso remoto BLINDINGCAN e strumenti per il furto di credenziali, tra cui Mimikatz e ChromeStealer.
Broadcom ritiene che gli operatori nordcoreani continuino a essere attivamente coinvolti nella criminalità informatica e non esitino ad attaccare organizzazioni americane, comprese quelle sanitarie, nonostante i rischi per la reputazione che fungono da deterrente per molti altri gruppi.
L’attività non è stata ancora attribuita a un’unità specifica all’interno di Lazarus, sebbene i metodi ricordino ampiamente le precedenti operazioni di Andariel.
