Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Erweiterte, anhaltende Bedrohung (APT) Medusa-Ransomware-Angriffskampagne

Medusa-Ransomware-Angriffskampagne

Von Mezo in Erweiterte, anhaltende Bedrohung (APT), Ransomware
Übersetzen Sie in:

Die als Lazarus-Gruppe (auch bekannt als Diamond Sleet und Pompilus) bekannte, mit Nordkorea in Verbindung stehende Bedrohungsgruppe wurde dabei beobachtet, wie sie die Medusa-Ransomware in einem Angriff auf eine nicht näher genannte Organisation im Nahen Osten einsetzte. Sicherheitsforscher entdeckten zudem einen erfolglosen Einbruchsversuch derselben Akteure gegen eine Gesundheitseinrichtung in den Vereinigten Staaten.

Medusa operiert nach dem Ransomware-as-a-Service-Modell (RaaS) und wurde 2023 von der Cyberkriminellen-Gruppe Spearwing ins Leben gerufen. Seitdem hat sich die Organisation zu über 366 Angriffen bekannt. Recherchen auf dem Medusa-Leak-Portal zeigen, dass ab November 2025 vier US-amerikanische Einrichtungen aus dem Gesundheits- und Non-Profit-Bereich als Opfer aufgeführt wurden. Darunter befanden sich eine gemeinnützige Organisation für psychische Gesundheit und eine Bildungseinrichtung für autistische Kinder. Es ist weiterhin unklar, ob alle Vorfälle direkt nordkoreanischen Akteuren zuzuschreiben sind oder ob auch andere Medusa-Mitglieder für einige Angriffe verantwortlich waren. In diesem Zeitraum lag die durchschnittliche Lösegeldforderung bei etwa 260.000 US-Dollar.

Ein Muster der Ransomware-Evolution innerhalb nordkoreanischer Operationen

Der Einsatz von Ransomware durch nordkoreanische Cybereinheiten ist gut dokumentiert. Bereits 2021 führte ein Lazarus-Subcluster namens Andariel (auch Stonefly genannt) Angriffe in Südkorea, Japan und den Vereinigten Staaten durch und nutzte dabei proprietäre Ransomware-Familien wie SHATTEREDGLASS, Maui und H0lyGh0st.

Im Oktober 2024 wurde die Gruppe mit dem Einsatz der Play-Ransomware in Verbindung gebracht, was auf eine strategische Neuausrichtung hin zur Verwendung kommerziell erhältlicher Ransomware anstatt ausschließlich auf selbst entwickelte Payloads hindeutet.

Dieser Wandel beschränkt sich nicht auf Andariel. Ein weiterer nordkoreanischer Akteur, Moonstone Sleet, der zuvor mit der speziell entwickelten FakePenny-Ransomware in Verbindung gebracht wurde, soll südkoreanische Finanzinstitute mit der Qilin-Ransomware angegriffen haben. Zusammengenommen deuten diese Entwicklungen auf eine umfassendere taktische Anpassung hin, bei der nordkoreanische Akteure zunehmend als Partner in etablierten RaaS-Ökosystemen agieren, anstatt vollständig eigene Ransomware-Toolchains zu betreiben.

Operatives Instrumentarium zur Unterstützung der Medusa-Kampagne

Die Lazarus zugeschriebenen Aktivitäten im Zusammenhang mit Medusa umfassen eine Mischung aus eigens entwickelter Malware und öffentlich verfügbaren Angriffswerkzeugen. Zu den beobachteten Werkzeugen gehören:

  • RP_Proxy, ein proprietäres Proxy-Dienstprogramm.
  • Mimikatz, ein Tool zum Auslesen von Anmeldeinformationen, das häufig bei Post-Exploitation-Aktivitäten eingesetzt wird.
  • Comebacker, eine Lazarus-exklusive Hintertür.
  • InfoHook, ein Informationsdieb, der zuvor mit Comebacker-Einsätzen in Verbindung gebracht wurde.
  • BLINDINGCAN (auch bekannt als AIRDRY oder ZetaNile), ein Remote-Access-Trojaner.
  • ChromeStealer ist ein Hilfsprogramm, das zum Extrahieren gespeicherter Anmeldeinformationen aus dem Chrome-Browser entwickelt wurde.

Obwohl die Erpressungstaktiken früheren Operationen von Andariel ähneln, konnte die aktuelle Aktivität noch nicht eindeutig einer bestimmten Untergruppe von Lazarus zugeordnet werden.

Strategische Implikationen: Pragmatismus statt proprietärer Entwicklung

Die Nutzung von Ransomware-Varianten wie Medusa und Qilin zeugt von operativem Pragmatismus. Die Entwicklung und Wartung eigener Ransomware-Familien erfordert erhebliche Ressourcen, Tests und Infrastruktur. Die Nutzung etablierter RaaS-Plattformen ermöglicht den sofortigen Zugriff auf ausgereifte Verschlüsselungsfunktionen, operative Unterstützung und bewährte Monetarisierungsmechanismen. Affiliate-Gebühren können angesichts der Entwicklungs- und Wartungskosten als angemessener Kompromiss angesehen werden.

Anhaltende und ungezügelte Zielerfassung

Die zunehmende Verwendung von Standard-Ransomware unterstreicht Nordkoreas anhaltende Beteiligung an finanziell motivierter Cyberkriminalität. Die Auswahl der Ziele lässt kaum Zurückhaltung erkennen; auch Organisationen in den USA, darunter Gesundheitseinrichtungen, fallen ins Visier der Angreifer. Zwar behaupten einige kriminelle Gruppen öffentlich, Gesundheitseinrichtungen zu meiden, um Reputationsschäden zu vermeiden, doch bei den mit Lazarus in Verbindung stehenden Operationen ist keine vergleichbare Einschränkung erkennbar.

Im Trend

Medusa-Ransomware-Angriffskampagne

Erweiterte, anhaltende Bedrohung (APT), Ransomware
Die als Lazarus-Gruppe (auch bekannt als Diamond Sleet und Pompilus) bekannte, mit Nordkorea in Verbindung stehende Bedrohungsgruppe wurde dabei beobachtet, wie sie die Medusa-Ransomware in einem Angriff auf eine nicht näher genannte Organisation im Nahen Osten einsetzte. Sicherheitsforscher entdeckten zudem einen erfolglosen Einbruchsversuch derselben Akteure gegen eine Gesundheitseinrichtung...

Am häufigsten gesehen

Wird geladen...