Lazarus usa ransomware Medusa em ataques a saúde dos EUA e Oriente Médio
O grupo de hackers ligado à Coreia do Norte, Lazarus (também conhecido como Diamond Sleet e Pompilus), foi observado utilizando o ransomware Medusa em um ataque contra uma entidade não nomeada no Oriente Médio. A divisão de inteligência de ameaças da Broadcom, Symantec Threat Hunter Team, também identificou os mesmos agentes de ameaça montando um ataque malsucedido contra uma organização de saúde nos Estados Unidos.
O que mudou agora
A adoção do ransomware Medusa pelo Lazarus representa uma evolução nas táticas do grupo, que historicamente se concentrou em roubo de criptomoedas, espionagem e ataques de destruição de dados. O uso de ransomware de terceiros sugere uma possível terceirização de capacidades ou uma tentativa de diversificar os vetores de ataque para extorsão financeira, alinhando-se a uma tendência observada em outros grupos patrocinados por estados.
Vetor e exploração
Embora os detalhes específicos da exploração inicial não tenham sido divulgados no relatório inicial, a Symantec e a Carbon Black Threat Hunter Team confirmaram a atribuição ao Lazarus com alto grau de confiança. O ataque ao setor de saúde nos EUA foi bloqueado, indicando que as defesas da organização alvo foram eficazes na detecção ou contenção. Ataques a organizações de saúde são particularmente sensíveis devido ao potencial impacto na continuidade de cuidados críticos e à sensibilidade dos dados de pacientes.
Impacto e alcance
O ataque bem-sucedido no Oriente Médio demonstra a capacidade contínua do Lazarus de infiltrar redes e implantar cargas maliciosas. A escolha do ransomware Medusa, uma variante menos comum em comparação com LockBit ou BlackCat, pode ser uma tentativa de evitar assinaturas de detecção mais conhecidas. A atividade reforça a necessidade de vigilância contínua contra grupos de ameaças persistentes avançadas (APTs), mesmo quando mudam suas ferramentas e táticas.
Repercussão e implicações
Ataques de ransomware contra infraestrutura crítica, especialmente saúde, continuam a ser uma prioridade máxima para agências de segurança nacional e equipes de segurança corporativa. A participação de um grupo patrocinado por um estado-nação em tais campanhas eleva os riscos geopolíticos e complica os esforços de resposta. Organizações em setores críticos devem revisar seus controles de detecção para ameaças de ransomware, independentemente da origem ou ferramenta utilizada.