Провайдер в курсе всего. Девушка узнает последней
Image

Провайдер в курсе всего. Девушка узнает последней

Жми подписаться, ведь дальше градус будет только расти.

Больницы, школы и НКО. Северокорейские хакеры выбирают для нападения самые беззащитные цели

leer en español

Lazarus Group Medusa Symantec Broadcom Andariel Moonstone Sleet вымогательское ПО
Больницы, школы и НКО. Северокорейские хакеры выбирают для нападения самые беззащитные цели
Lazarus Group Medusa Symantec Broadcom Andariel Moonstone Sleet вымогательское ПО

Репутация не имеет значения, когда на кону стоят сотни тысяч долларов.

image

Связанная с КНДР хакерская группировка Lazarus Group расширила инструментарий и начала применять вымогатель Medusa при атаках на организации на Ближнем Востоке и в США. Об этом сообщили специалисты подразделения Symantec и Carbon Black, входящих в Broadcom, проанализировав недавние инциденты.

По их данным, Medusa использовали против неназванной структуры на Ближнем Востоке. Та же группа попыталась атаковать медицинскую организацию в США, однако эта операция завершилась неудачей. Medusa работает по модели «вымогатель как услуга» и запущена киберпреступной группой Spearwing в 2023 году. С момента появления операторы заявили о более чем 366 атаках.

Анализ сайта утечек Medusa показал, что с начала ноября 2025 года жертвами стали как минимум четыре американские организации, связанные со здравоохранением и некоммерческим сектором. Среди них — структура в сфере психического здоровья и образовательное учреждение для детей с аутизмом. Неясно, во всех ли случаях за атаками стояли северокорейские операторы или часть эпизодов связана с другими партнёрами Medusa. Средний размер требований в этот период составлял около 260 тысяч долларов.

Использование вымогателей для Lazarus Group не ново. Ещё в 2021 году одно из подразделений, известное как Andariel, атаковало компании в Южной Корее, Японии и США с помощью собственных семейств вредоносного ПО, включая SHATTEREDGLASS, Maui и H0lyGh0st. Осенью 2024 года эту же структуру связали с применением вымогателя Play, что стало переходом к использованию готовых решений вместо разработки собственного кода.

Похожий сдвиг заметили и у другой северокорейской группы — Moonstone Sleet. По данным Bitdefender, она, ранее распространявшая собственный шифровальщик FakePenny, могла атаковать финансовые организации Южной Кореи с помощью Qilin. Такой переход специалисты связывают с прагматичным расчётом: использование уже отработанных инструментов снижает затраты на разработку и ускоряет проведение операций, даже с учётом выплат партнёрам.

В кампании с применением Medusa Lazarus Group задействовала как собственные, так и общедоступные инструменты. Среди них прокси-утилита RP_Proxy, бэкдор Comebacker, инфостилер InfoHook, троян удалённого доступа BLINDINGCAN, а также программы для кражи учётных данных, включая Mimikatz и ChromeStealer. Активность пока не отнесли к конкретному подразделению внутри Lazarus, хотя методы во многом напоминают предыдущие операции Andariel.

В Broadcom считают, что северокорейские операторы продолжают активно участвовать в киберпреступности и не избегают атак на американские организации, в том числе медицинские, несмотря на репутационные риски, которые для многих других групп служат сдерживающим фактором.