Die Medusa-Bande startete zunächst als geschlossene Operation, ging 2024 aber zu einem offeneren Modell als Ransomware-as-a-Service (RaaS) über. Medusa-Akteure haben über die Jahre Hunderte Organisationen aus dem Bereich kritischer Infrastrukturen getroffen – aus Sicht der Forscher ein passender Partner für Lazarus, deren Geschichte von Ransomware- und Erpressungsangriffen geprägt ist.

Welcher konkrete Teil von Lazarus hinter den jüngsten Angriffen steht, konnte Carbon Black nicht abschließend bestimmen. Zwar gilt die Urheberschaft von Lazarus als gesichert, doch welche Untergruppe verantwortlich ist, bleibt offen. Die Forscher wiesen darauf hin, dass die Medusa-Angriffe Taktiken, Techniken und Vorgehensweisen (TTPs) zeigten, die einer als Stonefly bekannten Lazarus-Untergruppe zugeordnet werden. Die zusätzlich eingesetzte Schadsoftware – darunter eine Backdoor namens Comebacker – wurde dagegen zuvor einer anderen Gruppe zugeschrieben, die unter dem Namen Diamond Sleet geführt wird.

Neben Comebacker fand das Threat-Hunter-Team in den beiden Angriffen weitere Schadsoftware und Werkzeuge, die häufig mit Lazarus in Verbindung gebracht werden. Dazu zählen Blindingcan, ein mit Lazarus verknüpfter Remote-Access-Trojaner (RAT), sowie ein Infostealer namens Infohook.

Laut O’Brien fand das Team allerdings keine Hinweise darauf, dass die Lazarus-Akteure über die eigentliche Schadlast hinaus weitere Medusa-Werkzeuge oder -Schadsoftware nutzten. Die Medusa-Bande setzt ansonsten auf die Technik “Bring Your Own Vulnerable Driver” (BYOVD), bei der über verwundbare Treiber sogenannte EDR-Killer ausgerollt werden, um Sicherheitslösungen im Unternehmen lahmzulegen. Belege für solche Werkzeuge zur Tarnung – etwa verwundbare Treiber – fanden sich in diesem Fall jedoch nicht.

BYOVD hat sich dennoch zu einer zunehmend beliebten Taktik unter Ransomware-Banden entwickelt. Als Gegenmaßnahmen nennen die Forscher das Blockieren bekannter, von Angreifern genutzter verwundbarer Treiber sowie die Überwachung auf Versuche der Rechteausweitung, die Angreifer benötigen, um Treiber in Zielsysteme einzuschleusen.

Der Bericht des Threat-Hunter-Teams enthält Kompromittierungsindikatoren aus den beiden Angriffen, etwa Hinweise auf schädliche Dateien, IP-Adressen und URLs. In einem separaten Sicherheits-Bulletin veröffentlichte Symantec weitere Indikatoren wie verhaltensbasierte Signale, die die Produkte des Anbieters inzwischen erkennen und blockieren.