Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

North Korean Lazarus group linked to Medusa ransomware attacks

2 minute de lecture

Mis à jour :

Groupe Lazarus Nord-Coréen et Ransomware Medusa : Une Nouvelle Menace pour la Santé

Des pirates informatiques liés au groupe nord-coréen Lazarus seraient derrière des attaques de ransomware Medusa ciblant des organisations de santé américaines. Ce groupe est connu pour ses activités cybercriminelles à motivation financière et aurait étendu son modus operandi pour inclure ce nouveau type de rançongiciel.

L’opération Medusa RaaS (Ransomware-as-a-Service) est apparue début 2021 et a déjà touché plus de 300 organisations dans des secteurs critiques. Les chercheurs ont identifié des liens entre les outils utilisés dans ces attaques et d’autres groupes nord-coréens, tels que Diamond Sleet, qui s’en prend traditionnellement aux secteurs des médias, de la défense et de l’informatique.

Points Clés :

  • Le groupe Lazarus, connu pour ses liens avec le gouvernement nord-coréen, est désormais associé à des attaques utilisant le ransomware Medusa.
  • Les organisations de santé américaines sont une cible privilégiée, malgré la nature sensible de ces infrastructures.
  • Le groupe Lazarus ne semble pas être limité par des considérations éthiques ou de réputation quant à ses cibles.
  • Les rançons demandées peuvent atteindre 15 millions de dollars, bien que la moyenne soit plus proche de 260 000 dollars.
  • Les fonds extorqués servent à financer des opérations d’espionnage.

Vulnérabilités et Outils :

Bien qu’aucune vulnérabilité spécifique (CVE) ne soit explicitement mentionnée comme étant exploitée, l’article liste une panoplie d’outils couramment utilisés dans ces attaques, certains étant associés à des groupes nord-coréens :

  • Comebacker : Porte dérobée/chargeur liée à Diamond Sleet.
  • Blindingcan : Cheval de Troie d’accès à distance.
  • ChromeStealer : Outil de vol d’identifiants Chrome.
  • Infohook : Outil de vol d’informations.
  • Mimikatz : Outil d’extraction de credentials.
  • RP_Proxy : Outil de proxy personnalisé.
  • Curl : Outil de transfert de données.

Ces outils, souvent des utilitaires courants, démontrent une capacité à être rapidement réutilisés ou adaptés par des acteurs malveillants.

Recommandations :

L’article ne fournit pas de recommandations directes dans son corps principal, mais il met en évidence la nécessité pour les organisations de se prémunir contre les attaques de ransomware. Les points suivants peuvent être déduits :

  • Renforcement de la sécurité des infrastructures de santé : Ces organisations doivent être particulièrement vigilantes.
  • Surveillance des indicateurs de compromission (IoCs) : Symantec a partagé des IoCs pour aider à la détection.
  • Conscience des tactiques des groupes étatiques : La persistance et l’adaptabilité des groupes comme Lazarus nécessitent une vigilance constante.
  • Stratégies de réponse aux incidents : Une préparation adéquate aux attaques de ransomware est cruciale.

Source

Vous pourriez aimer