Die nordkoreanische Lazarus-Gruppe nutzt die Medusa-Ransomware für Cyberangriffe im Nahen Osten und gegen US-amerikanische Gesundheitseinrichtungen. Der Wechsel zu einer etablierten Ransomware-as-a-Service-Plattform deutet auf einen taktischen Wandel nordkoreanischer Hacker hin.
Die Lazarus-Gruppe, die dem nordkoreanischen Regime zugerechnet wird, hat gezielt die Ransomware Medusa bei Angriffen eingesetzt. Dies belegen Erkenntnisse der Threat-Intelligence-Division von Broadcom, die zusammen mit Symantec und dem Carbon Black Threat Hunter Team diese Aktivitäten dokumentiert hat. Ein Anschlag zielte auf eine bislang ungenannte Institution im Nahen Osten ab, während ein weiterer Angriffsversuch gegen eine US-amerikanische Gesundheitsorganisation scheiterte.
Medusa ist eine Ransomware-as-a-Service-Plattform (RaaS), die 2023 von der Cyberkriminellen-Gruppe Spearwing gestartet wurde. Laut Branchenangaben sind der Operation mittlerweile über 366 Anschläge zuzurechnen. Die Symantec-Experten analysierten die Leckagenwebseite von Medusa und identifizierten vier Angriffe auf US-amerikanische Gesundheits- und gemeinnützige Organisationen seit November 2025. Unter den Opfern befanden sich eine Stiftung aus dem Bereich psychische Gesundheit sowie eine Bildungseinrichtung für autistische Kinder. Die durchschnittliche Lösegeldfordeung in diesem Zeitraum lag bei 260.000 US-Dollar.
Der Einsatz von Ransomware durch nordkoreanische Hackergruppen ist nicht beispiellos. Bereits 2021 führte Andariel, eine Untereinheit der Lazarus-Gruppe, Anschläge gegen südkoreanische, japanische und US-amerikanische Ziele mit selbstentwickelten Ransomware-Varianten wie SHATTEREDGLASS, Maui und H0lyGh0st durch. Im Oktober 2024 wurde die Gruppe dann mit der Play-Ransomware in Verbindung gebracht – ein Zeichen für den Übergang zu kommerziell verfügbaren Verschlüsselungswerkzeugen.
Andariel ist nicht die einzige nordkoreanische Hackergruppe, die diesen Weg beschreitet. Die Threat-Actor-Gruppe Moonstone Sleet hatte zuvor ihre eigene Ransomware-Familie FakePenny entwickelt, nutzte aber später die Qilin-Ransomware gegen südkoreanische Finanzunternehmen.
Diese Entwicklung deutet auf einen grundlegenden Strategiewechsel hin: Nordkoreanische Hacker agieren offenbar zunehmend als Partner etablierter RaaS-Betreiber, anstatt eigene Tools zu entwickeln. “Die Motivation liegt wohl in pragmatischem Denken,” erklärt Dick O’Brien, Principal Intelligence Analyst des Symantec und Carbon Black Threat Hunter Teams, gegenüber The Hacker News. “Warum sollte man sich die Mühe machen, eine eigene Ransomware zu entwickeln, wenn man auf bewährte Varianten wie Medusa oder Qilin zurückgreifen kann? Die Beteiligungsgebühren könnten am Ende wirtschaftlicher sein als die Eigenentwicklung.”
Obwohl die Medusa-Kampagne der Lazarus-Gruppe bislang nicht einer bestimmten Untergruppe zugeordnet wurde, weisen die Erpressungstaktiken Parallelen zu früheren Andariel-Operationen auf. Die Sicherheitsfirma warnt: “Der Wechsel zu Medusa zeigt, dass Nordkoreas rücksichtslose Verwicklung in Cyberkriminalität ungebremst voranschreitet.” Anders als manche Cyberkriminelle-Organisationen, die Angriffe auf Gesundheitseinrichtungen aus Reputationsgründen meiden, scheint die Lazarus-Gruppe solche Bedenken nicht zu haben.
Quelle: The Hacker News