Lazarus usando ransomware Medusa em ataques financeiros

Hackers ligados à Coreia do Norte foram vistos utilizando o ransomware Medusa em ataques com motivação financeira contra organizações nos Estados Unidos e no Oriente Médio. Especialistas em segurança da informação da Symantec identificaram que membros do Lazarus, um conhecido grupo de hackers operado pelo regime norte-coreano, realizaram os ataques.

Ataques visaram setor de saúde e empresa no exterior

De acordo com a Symantec, as vítimas incluem uma empresa no Oriente Médio e uma organização de saúde nos EUA. O Medusa opera sob o modelo de Ransomware-as-a-Service (RaaS), no qual afiliados realizam os ataques e compartilham um percentual do resgate com os desenvolvedores do malware. O grupo por trás do Medusa surgiu em 2023 e já acumulou mais de 350 ataques, sendo associado por especialistas a um grupo de cibercrime maior chamado Spearwing.

Dick O’Brien, analista principal de inteligência da Symantec, destacou que, embora atores norte-coreanos já tenham utilizado outras cepas de ransomware como Maui e Play, esta é a primeira vez que são rastreados usando o Medusa. “Maui foi supostamente desenvolvido pelo próprio Lazarus, mas mais recentemente eles parecem ter migrado para o uso de ofertas de Ransomware-as-a-Service”, explicou.

Conexão com subgrupo Andariel e ataques anteriores

A Symantec acredita que os ataques recentes com o Medusa sejam obra do Andariel, um subgrupo do Lazarus. Esta não é a primeira vez que o coletivo é alvo de acusações formais. Em 2024, um mandado de prisão federal foi emitido nos EUA para Rim Jong Hyok, um suposto membro do Andariel vinculado ao Bureau Geral de Reconhecimento (RGB), a agência de inteligência norte-coreana.

Rim foi identificado como o responsável por diversos ataques de ransomware usando a cepa Maui em 2021 e 2022. As ações incluíram o ataque a um hospital no Kansas, que interrompeu serviços de saúde ao criptografar servidores de testes médicos e registros eletrônicos. O FBI informou que Rim e outros membros do Andariel vitimaram cinco prestadores de serviços de saúde, quatro contratantes de defesa dos EUA, duas bases da Força Aérea e o escritório do Inspetor Geral da NASA.

Indicadores de comprometimento e tendência global

A atribuição dos recentes ataques com Medusa à Coreia do Norte foi possível graças ao uso de ferramentas personalizadas exclusivas do Lazarus, incluindo uma ferramenta de backdoor, um malware e um extrator de senhas do navegador Chrome. O relatório da Symantec surge em um contexto de alerta de múltiplas empresas de segurança sobre a crescente coordenação entre Estados-nação e cibercriminosos.

Grupos patrocinados por países como Rússia, China, Coreia do Norte e Irã, tradicionalmente envolvidos em espionagem, estão agora utilizando ransomware para obter ganhos financeiros ou como disfarce para outras operações cibernéticas. O FBI já havia relatado anteriormente ter testemunhado atores iranianos fazendo parceria com afiliados de operações de ransomware como NoEscape, Ransomhouse e AlphV, chegando a receber uma porcentagem dos pagamentos de resgate.