北朝鮮の最も高度な国家支援グループの1つと関連付けられたハッカーが、金銭的動機による攻撃で少なくとも2つの機関にメデューサランサムウェアを配備しているのが確認されています。
Symantecのサイバーセキュリティ専門家は、北朝鮮の軍内に所在する有名な北朝鮮ハッキング作戦であるLazarus(ラザルス)のメンバーによるメデューサ攻撃が、中東の企業と米国のヘルスケア組織に対して実行されたのを確認したと述べています。
メデューサはランサムウェア・アズ・ア・サービスモデルで運営されており、アフィリエイトがマルウェアを使用して攻撃を実行し、身代金の一定割合をランサムウェア開発者に提供することができます。このグループは2023年に出現し、それ以来350件以上の攻撃を実行しており、セキュリティ専門家はこれをSpearwingという大規模なサイバー犯罪グループに関連付けています。
Symantecの主任インテリジェンスアナリストであるDick O’Brien氏は、北朝鮮の行為者は以前Mauiなどのランサムウェア亜種やPlayを使用しているのが確認されていたが、メデューサを使用しているのが追跡されたのはこれが初めてであると述べています。
「Mauiはおそらくラザルス自身が開発したものですが、最近ではランサムウェア・アズ・ア・サービス・オファリングの使用に転換したようです」と彼は述べています。
米国の法執行機関は2022年に北朝鮮によるMauiランサムウェアの使用について警告を発し、ハッカーが米国の病院およびヘルスケア企業を標的にするためにそれを使用していると警告しました。
2024年、国の情報機関である偵察総局(RGB)内のAndarielユニットの疑いのあるメンバーであるRim Jong Hyok(リム・ジョンヒョク)に対して連邦逮捕状が発行されました。
リムは複数の米軍機関により、2021年および2022年に実行されたMaui亜種を使用した複数のランサムウェア攻撃の犯人として特定されました。攻撃の少なくとも1つはカンザス州の病院を標的にしており、そこでリムの逮捕状が発行されました。攻撃は医療検査または電子医療記録に使用されるコンピュータおよびサーバーを暗号化し、カンザス州、コロラド州およびその他の州の施設でのヘルスケアサービスを中断させました。
FBIは調査官がリムおよび他のAndariel行為者が5つのヘルスケアプロバイダー、4つの米国ベースの防衛請負業者、2つの米国空軍基地、およびアメリカ航空宇宙局の監査官室を被害者にしたことを発見したと述べています。
米国の機関はリムが攻撃からの身代金を使用してサーバーを購入し、その後米国、韓国および中国の政府機関および顧客に対する他のサイバー諜報ハッキングで使用されたと述べています。
国務省はまた、米国政府が最後に北朝鮮にいることが知られていたリムに関する情報のために1000万ドルの報奨金を提供しました。
O’Brien氏は確認できないが、メデューサを使用した最近のランサムウェア攻撃は、法執行機関がラザルス内の小グループであると述べているAndarielによってもが実行されたと考えていると述べています。
Symantecは起訴後、2024年10月にAndarielの北朝鮮メンバーが米国の組織に対して3つの他の金銭的動機による攻撃を実行したのを見たが、ランサムウェアは正常に配備されなかったと述べています。その同じ月に、別のサイバーセキュリティ企業は北朝鮮の行為者が攻撃でPlayランサムウェアを使用しているのを見たと述べています。
Symantecは、バックドアツール、マルウェア、Chromeブラウザパスワード抽出ツールを含むラザルスによって排他的に使用されるカスタムツールの使用により、最新のメデューサ攻撃を北朝鮮に起因させることができました。
このレポートは、複数のサイバーセキュリティ企業が過去2年間にわたって国民国家とサイバー犯罪者間の調整が増加していると警告した後に出されます。
ロシア、中国、北朝鮮およびイランからの国民国家グループは、通常スパイ行為または情報操作に関与していたが、現在は攻撃的なサイバー作戦から経済的に利益を得るか、他のサイバー目標のカバーを提供する方法としてランサムウェアを配備しています。
複数のランサムウェアギャングはウクライナ侵攻の開始時にロシアを公然と支援し、Googleは悪名高いContiランサムウェアグループの元メンバーがウクライナの組織への攻撃のために多くのツールを転用したことを発見しました。
いくつかの場合、ランサムウェアは中国のスパイ活動のカバーとして使用されています。法執行機関はまた、イラン政府のハッカーが公式アクセスを使用して後で金銭的に動機付けられた攻撃を実行する例を見ており、これはダブルディップの試みの一部であり、サイバー犯罪者としてムーンライトを行い、ハッキングスキルを現金化しています。
FBIは以前、イランの行為者がNoEscape、Ransomhouse、およびAlphVランサムウェア作戦のアフィリエイトとパートナーシップを結んでいるのを目撃したと述べており、最終的に身代金の一定割合を獲得しています。
翻訳元: https://therecord.media/north-korean-hackers-using-medusa-ransomware
