Die nordkoreanische Lazarus-Gruppe nutzt erstmals die Medusa-Ransomware für Angriffe. Dabei wurden Ziele im Nahen Osten sowie ein US-amerikanisches Gesundheitsunternehmen attackiert, was die anhaltende Cyberkriminalität des Regimes unterstreicht.
Die Lazarus-Gruppe hat einen neuen Partner gefunden: Medusa-Ransomware. Die nordkoreanische Bedrohungsgruppe setzte die Malware kürzlich bei einem Angriff auf eine Organisation im Nahen Osten ein, wie Forscher von Symantec und Carbon Black dokumentieren. Parallel versuchten Lazarus-Akteure, ein US-amerikanisches Gesundheitsunternehmen zu kompromittieren – dieser Angriff blieb jedoch erfolglos.
Die Sicherheitsforscher enthüllten weder die Namen der betroffenen Organisationen noch spezifische Details zum Sektor des Opfers im Nahen Osten. Die Partnerschaft mit Medusa verdeutlicht jedoch die “ungebremste kriminelle Aktivität” der DPRK, wie die Analysten feststellen. Besonders bemerkenswert ist das Muster der Lazarus-Gruppe, gezielt kritische Infrastrukturen – insbesondere Gesundheitseinrichtungen – ins Visier zu nehmen.
“Anders als viele Cyberkriminelle-Banden vermeiden Lazarus-Akteure nicht das Targeting von Krankenhäusern, obwohl dies Reputationsschäden verursacht”, berichten die Threat Hunter.
Die Medusa-Ransomware-Gang startete als geschlossene Operation, expandierte aber 2024 zu einem Ransomware-as-a-Service-Modell (RaaS). Im Laufe der Jahre hat die Gruppe hunderte kritische Infrastrukturen attackiert – eine ideale Konstellation für Lazarus.
Im Gegensatz zu typischen staatlichen APT-Gruppen ist Lazarus seit Jahren in konventioneller Cyberkriminalität aktiv und führt finanziell motivierte Angriffe durch – von Energieunternehmen bis zu Kryptobörsen. Dick O’Brien, Principal Intelligence Analyst bei Symantec und Carbon Black, charakterisiert das Ziel im Nahen Osten als großes Unternehmen, das “weder in strategischen Sektoren tätig ist noch besonderes Wissen besitzt. Der Angriff war rein finanziell motiviert.”
Für Lazarus ergibt diese Allianz strategisch Sinn, angesichts ihrer Erfahrung mit Ransomware und Erpressungsattacken. Dennoch bleibt unklar, welche spezifische Lazarus-Untergruppe hinter den aktuellen Angriffen steckt. Die eingesetzten Taktiken verweisen auf Stonefly, allerdings nutzte die Gruppe auch Malware wie das Backdoor Comebacker, das eigentlich Diamond Sleet zugeordnet wird.
Neben Comebacker fanden die Analysten weitere bekannte Lazarus-Tools: Blindingcan (ein Remote-Access-Trojaner) und Infohook (ein Infostealer). Interessanterweise entdeckten sie keine Hinweise darauf, dass Lazarus-Akteure weitere Medusa-eigene Verteidigungsumgehungs-Tools einsetzten – etwa vulnerable Driver für die Bring-Your-Own-Vulnerable-Driver-(BYOVD)-Technik.
“Wir fanden keine Evidenz für den Einsatz von Defense-Evasion-Tools wie anfälligen Treibern”, erklärt O’Brien.
Allerdings wird BYOVD unter Ransomware-Gangs zunehmend populärer. Sicherheitsteams sollten sich darauf vorbereiten, indem sie bekannte anfällige Treiber blockieren und Privilege-Escalation-Versuche monitoren.
Die Forscher dokumentierten Indikatoren aus beiden Angriffen – darunter verdächtige Dateien, IP-Adressen und URLs. Ein Symantec-Security-Bulletin enthält zusätzliche verhaltensbasierte Signale, die Sicherheitsprodukte bereits erkennen und blockieren.
Quelle: Dark Reading