Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Amenaza persistente avanzada (APT) Campaña de ataque del ransomware Medusa

Campaña de ataque del ransomware Medusa

Por Mezo en Amenaza persistente avanzada (APT), Ransomware
Traducir a:

Se ha observado que el actor de amenazas vinculado a Corea del Norte, conocido como Lazarus Group, también conocido como Diamond Sleet y Pompilus, ha implementado el ransomware Medusa en un ataque contra una organización anónima en Oriente Medio. Investigadores de seguridad identificaron además un intento fallido de intrusión por parte de los mismos actores contra una organización sanitaria en Estados Unidos.

Medusa opera bajo un modelo de ransomware como servicio (RaaS) y fue lanzada en 2023 por un grupo de ciberdelincuentes identificado como Spearwing. Desde su aparición, la operación se ha atribuido la responsabilidad de más de 366 ataques. Un análisis del portal de filtraciones de Medusa indica que, a partir de noviembre de 2025, cuatro entidades de atención médica y sin fines de lucro con sede en EE. UU. figuraban como víctimas. Entre ellas, una organización sin fines de lucro dedicada a la salud mental y una institución educativa que atiende a niños con autismo. Aún no está claro si todos los incidentes se atribuyeron directamente a operativos norcoreanos o si otras filiales de Medusa fueron responsables de algunas intrusiones. Durante ese período, la demanda promedio de rescate se situó en aproximadamente 260.000 dólares.

Un patrón de evolución del ransomware en las operaciones de Corea del Norte

El uso de ransomware por parte de las unidades cibernéticas norcoreanas está bien establecido. Ya en 2021, un subgrupo de Lazarus conocido como Andariel (también conocido como Stonefly) realizó ataques en Corea del Sur, Japón y Estados Unidos utilizando familias de ransomware propietarias como SHATTEREDGLASS, Maui y H0lyGh0st.

En octubre de 2024, el grupo estuvo vinculado a una implementación del ransomware Play, lo que indica un giro estratégico hacia el uso de ransomware disponible comercialmente en lugar de depender exclusivamente de cargas útiles creadas a medida.

Esta transición no se limita a Andariel. Se informó que otro actor de amenazas norcoreano, Moonstone Sleet, previamente asociado con el ransomware personalizado FakePenny, había atacado a instituciones financieras surcoreanas mediante el ransomware Qilin. En conjunto, estos acontecimientos sugieren un ajuste táctico más amplio en el que los operadores norcoreanos funcionan cada vez más como afiliados dentro de ecosistemas RaaS establecidos, en lugar de mantener cadenas de herramientas de ransomware completamente propietarias.

Conjunto de herramientas operativas en apoyo de la campaña Medusa

La actividad relacionada con Medusa atribuida a Lazarus combina malware desarrollado a medida con utilidades ofensivas disponibles públicamente. Las herramientas observadas incluyen:

  • RP_Proxy, una utilidad de proxy propietaria.
  • Mimikatz, una herramienta de volcado de credenciales ampliamente utilizada en actividades posteriores a la explotación.
  • Comebacker, una puerta trasera exclusiva de Lazarus.
  • InfoHook, un ladrón de información anteriormente vinculado a las implementaciones de Comebacker.
  • BLINDINGCAN (también conocido como AIRDRY o ZetaNile), un troyano de acceso remoto.
  • ChromeStealer, una utilidad diseñada para extraer credenciales guardadas del navegador Chrome.

Aunque las tácticas de extorsión se parecen a operaciones anteriores de Andariel, la actividad actual no ha sido atribuida de manera concluyente a un subgrupo específico de Lazarus.

Implicaciones estratégicas: pragmatismo por encima del desarrollo propietario

La adopción de variantes de ransomware como Medusa y Qilin refleja pragmatismo operativo. El desarrollo y mantenimiento de familias de ransomware personalizadas requiere recursos, pruebas e infraestructura considerables. Aprovechar las plataformas RaaS consolidadas proporciona acceso inmediato a capacidades de cifrado consolidadas, soporte operativo y mecanismos de monetización probados. Las estructuras de comisiones de afiliación pueden considerarse una compensación razonable en comparación con los costes de desarrollo y mantenimiento.

Ataques persistentes y sin restricciones

El cambio hacia el ransomware comercial subraya aún más la constante participación de Corea del Norte en ciberdelitos con fines financieros. Los patrones de selección de objetivos indican una restricción mínima, con organizaciones en Estados Unidos, incluidas entidades sanitarias, dentro del alcance. Si bien algunos grupos criminales afirman públicamente evitar los objetivos sanitarios para mitigar las consecuencias reputacionales, no parece evidente una limitación comparable en las operaciones vinculadas a Lazarus.

Tendencias

Campaña de ataque del ransomware Medusa

Amenaza persistente avanzada (APT), Ransomware
Se ha observado que el actor de amenazas vinculado a Corea del Norte, conocido como Lazarus Group, también conocido como Diamond Sleet y Pompilus, ha implementado el ransomware Medusa en un ataque contra una organización anónima en Oriente Medio. Investigadores de seguridad identificaron además un intento fallido de intrusión por parte de los mismos actores contra una organización sanitaria en...

Mas Visto

Cargando...