Севернокорейски хакери използват Medusa ransomware

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

Севернокорейски хакери, свързвани със заплахата Lazarus, разширяват киберпрестъпната си дейност, като вече използват Medusa ransomware за изнудване на здравни организации. Това показва нов анализ на експерти по киберсигурност, който за първи път директно свързва тази рансъмуер операция с ATP от Северна Корея.

От шпионаж към чисто изнудване

Според доклад на Symantec, зад атаките стои подгрупа на Lazarus Group, вероятно известна като Andariel (Stonefly). Тази група традиционно е асоциирана с кибершпионаж и саботаж, но в случая става дума за ясно изразени финансово мотивирани атаки, насочени към болници, здравни доставчици и нестопански организации в САЩ.

За първи път Lazarus е категорично свързана с Medusa ransomware – операция, фокусирана върху директно изнудване.

Medusa – утвърдена RaaS платформа

Medusa функционира като ransomware-as-a-service (RaaS) от началото на 2021 г. До февруари 2025 г. тя е засегнала над 300 организации в сектори от критичната инфраструктура, а впоследствие са добавени още поне 80 жертви. Исканите откупи достигат до 15 млн. долара, макар че средната сума е около 260 000 долара.

През последните месеци платформата е използвана срещу няколко здравни и образователни институции, включително център за обучение на деца с аутизъм – факт, който подчертава липсата на морални или репутационни ограничения при тези атаки.

Инструменти и техники

Използваният зловреден арсенал комбинира специализирани инструменти, свързвани с други севернокорейски групи като Diamond Sleet, както и широкоразпространени комерсиални средства, сред които:

  • Blindingcan – троянец за отдалечен достъп

  • Mimikatz – извличане на удостоверителни данни

  • ChromeStealer – кражба на браузърни пароли

  • RP_Proxy – персонализиран прокси инструмент

Част от откраднатите средства се използват за финансиране на шпионски операции срещу отбранителни, технологични и държавни структури в САЩ, Тайван и Южна Корея.

Какво означава това за сектора

Атаките срещу здравеопазването ясно показват, че няма „забранени сектори“ за държавно подкрепените киберпрестъпници. За организациите това означава необходимост от по-зрял подход към киберсигурността, включително MDR/MSSP услуги, сегментация на мрежите и защита на OT/ICS среди, където медицинската техника все по-често е свързана към ИТ инфраструктурата.

#Lazarus Group, # Medusa ransomware, # здравеопазване, # киберизнудване, # киберсигурност
e-security.bg

Подобни

Earth Lusca разширява арсенала си с Windows версии на SprySOCKS
17.06.2026
china
DragonForce използва Microsoft Teams инфраструктура за скрит контрол
17.06.2026
China_dragon
Китай използва malware срещу медицински изследователски организации
16.06.2026
spyware
Украинeц се призна за виновен за участие в операциите на Conti ransomware
15.06.2026
ransomware
Защо RDP се превръща в предпочитано оръжие на съвременния рансъмуер
14.06.2026
gettyimages-1355321121
ShinyHunters е използвала zero-day уязвимост в Oracle PeopleSoft
14.06.2026
Oracle

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy