Korea Północna (Lazarus) korzysta z Medusa ransomware: co wiemy i jak się bronić - Security Bez Tabu

Korea Północna (Lazarus) korzysta z Medusa ransomware: co wiemy i jak się bronić

Wprowadzenie do problemu / definicja „luki”

Nie chodzi tu o pojedynczą „lukę” (CVE), tylko o zmianę taktyki: północnokoreańscy aktorzy z parasola Lazarus zostali zaobserwowani podczas użycia Medusa – komercyjnie dostępnego ransomware w modelu RaaS (ransomware-as-a-service) – w operacjach o charakterze wymuszeń finansowych.

To istotne z perspektywy obrony, bo łączy dwie rzeczy: (1) państwowe TTP i narzędzia ułatwiające dostęp/utrzymanie się w sieci oraz (2) skalowalny ekosystem RaaS, który przyspiesza etap „monetyzacji” dostępu.

W skrócie

  • Symantec/Carbon Black opisali przypadek użycia Medusa przez aktorów przypisywanych do Lazarus: atak na podmiot na Bliskim Wschodzie oraz próbę ataku na organizację ochrony zdrowia w USA.
  • Medusa jest powiązana z cyberprzestępczym zespołem Spearwing, działa jako RaaS i od 2023 r. rozwinęła się w kierunku „bardziej otwartego” modelu partnerskiego.
  • CISA (w ramach #StopRansomware) opisuje Medusa jako aktywne zagrożenie od 2021 r. i wskazuje, że do lutego 2025 r. dotknęło ponad 300 ofiar.
  • W analizach zwraca uwagę zestaw narzędzi kojarzonych z Lazarus (np. Comebacker, Blindingcan, kradzież haseł z Chrome), co wzmacnia atrybucję.

Kontekst / historia / powiązania

Lazarus od lat łączy operacje wywiadowcze z cyberprzestępczością. Wątek ransomware u DPRK był widoczny m.in. przy rodzinie Maui (uznawanej za „szytą” pod aktorów północnokoreańskich) oraz przy epizodach współpracy/wykorzystania „zewnętrznych” gangów i narzędzi.

Nowy element to pragmatyzm: zamiast rozwijać własny locker, łatwiej „podpiąć się” pod dojrzałe RaaS i płacić „affiliate fee”. Ten kierunek jest wprost sugerowany w komentarzach badaczy.

Analiza techniczna / szczegóły luki

Medusa jako RaaS i model wymuszeń

Medusa działa w modelu usługowym: operatorzy rozwijają oprogramowanie i infrastrukturę, a afilianci realizują włamania i egzekucję. CISA podkreśla też typowy dla współczesnych kampanii model podwójnego wymuszenia (szyfrowanie + groźba publikacji danych). (CISA)

Obserwowany łańcuch ataku i narzędzia Lazarus

W opisanych incydentach atrybucja do Lazarus była wzmacniana przez użycie narzędzi spotykanych u tego aktora, m.in.:

  • Comebacker (backdoor/loader kojarzony z Lazarus),
  • Blindingcan (RAT),
  • RP_Proxy (niestandardowy proxy utility),
  • Mimikatz (kradzież poświadczeń),
  • narzędzia do ekstrakcji haseł z Chrome.

Wątek istotny dla obrony: nawet jeśli końcowy payload to „zwykłe” Medusa, wcześniejsze fazy (dostęp, ruch boczny, kradzież poświadczeń, persystencja) mogą wyglądać jak klasyczna operacja APT.

BYOVD / EDR-killers – na co uważać

Medusa bywa kojarzona z techniką BYOVD (wykorzystanie podatnych sterowników do wyłączenia mechanizmów EDR). W cytowanych obserwacjach badacze zaznaczali jednak, że w tych konkretnych przypadkach nie widzieli użycia tego typu „killerów”, co nie znaczy, że inni afilianci Medusa z nich nie korzystają.

„Leak site” i presja na ofiary

Badacze zwracają uwagę na analizę strony wyciekowej Medusa: od początku listopada 2025 r. widoczne były roszczenia wobec kilku podmiotów z USA (w tym zdrowie/non-profit), a średni żądany okup w tym okresie miał wynosić ok. 260 tys. USD.

Praktyczne konsekwencje / ryzyko

  • Ochrona zdrowia pozostaje kuszącym celem (presja czasu, krytyczne procesy, wrażliwe dane), a Lazarus – w odróżnieniu od części gangów – nie wykazuje „samoregulacji” i nie unika takich sektorów.
  • Ryzyko łączone: dostęp uzyskany narzędziami APT + monetyzacja przez RaaS oznacza krótszy czas od kompromitacji do wymuszenia.
  • Podwójne wymuszenie zwiększa koszty incydentu: nawet po odtworzeniu systemów zostaje ryzyko ujawnienia danych.

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań „od razu”, które pasują zarówno do Medusa, jak i do profilu TTP Lazarus:

  1. MFA wszędzie, gdzie się da (szczególnie VPN, poczta, zdalny dostęp, panele administracyjne)
    Wymusza dodatkową barierę przy kradzieży poświadczeń (Mimikatz/infostealery).
  2. Higiena patchowania i redukcja powierzchni ataku
    Medusa jako ekosystem RaaS często „wchodzi” przez podatne usługi brzegowe lub słabe uwierzytelnianie; CISA podaje ogólne wytyczne dot. twardych podstaw.
  3. Segmentacja i zasada najmniejszych uprawnień (LAPS/PAM), twarde rozdzielenie kont admin/user
    Ogranicza ruch boczny i eskalację – kluczowe w fazie przed wdrożeniem ransomware.
  4. Kopie zapasowe 3-2-1 + testy odtworzeniowe + backup offline/immutable
    W praktyce to jedyna realna dźwignia, by nie negocjować „pod presją”.
  5. Detekcja na TTP, nie tylko na sygnatury
    • alerty na dump LSASS/technikę credential dumping,
    • nietypowe użycie narzędzi administracyjnych i tunelujących (proxy),
    • anomalia w dostępie do magazynów haseł przeglądarek (Chrome).
  6. Przygotuj się na wariant BYOVD
    Nawet jeśli w obserwowanym incydencie go nie było, Medusa bywa łączona z próbami wyłączania EDR – warto wdrożyć blokady znanych podatnych sterowników i monitoring prób ich ładowania.
  7. Playbook pod „data leak” (prawny/PR/IR)
    Medusa to często presja publikacją danych – przygotuj ścieżkę decyzji, komunikację i współpracę z regulatorami.

Różnice / porównania z innymi przypadkami

Maui vs Medusa (RaaS): Maui bywa opisywane jako ransomware „swoje” (dedykowane) i używane w ukierunkowanych kampaniach. Medusa to „produkt” w ekosystemie RaaS – może skracać czas wejścia na rynek i zwiększać skalowalność, kosztem dzielenia się zyskami z operatorami.

APT + RaaS: W klasycznych kampaniach APT celem jest wywiad; tutaj priorytetem jest monetyzacja dostępu. Ten trend „zacierania granic” między państwowymi grupami a cyberprzestępczością jest coraz częściej opisywany w branży – a przypadek Lazarus/Medusa dobrze to ilustruje.

Podsumowanie / kluczowe wnioski

  • 24 lutego 2026 pojawiły się wiarygodne opisy użycia Medusa ransomware przez aktorów przypisywanych do Lazarus (DPRK) przeciw podmiotom w USA i na Bliskim Wschodzie.
  • To kolejny dowód, że część grup państwowych wybiera gotowe RaaS zamiast własnego rozwoju narzędzi – szybciej i „taniej” operacyjnie.
  • Obrona nie powinna skupiać się wyłącznie na samym lockerze, ale na faza-ch poprzedzających szyfrowanie: kradzież poświadczeń, persystencja, ruch boczny, przygotowanie środowiska.

Źródła / bibliografia

  1. The Record (Recorded Future News): opis użycia Medusa przez Lazarus (24 lutego 2026). (The Record from Recorded Future)
  2. Symantec/Carbon Black Threat Hunter Team (SECURITY.COM): „North Korean Lazarus Group Now Working With Medusa Ransomware” (24 lutego 2026). (security.com)
  3. CISA: #StopRansomware – „Medusa Ransomware” (advisory, m.in. statystyki i charakterystyka). (CISA)
  4. Dark Reading: omówienie kontekstu, RaaS, BYOVD oraz wniosków badaczy. (Dark Reading)
  5. The Hacker News: streszczenie raportu i lista narzędzi użytych w kampanii (24 lutego 2026). (The Hacker News)