Больницы, школы и НКО. Северокорейские хакеры выбирают для нападения самые беззащитные цели
NewsMakerРепутация не имеет значения, когда на кону стоят сотни тысяч долларов.
Связанная с КНДР хакерская группировка Lazarus Group расширила инструментарий и начала применять вымогатель Medusa при атаках на организации на Ближнем Востоке и в США. Об этом сообщили специалисты подразделения Symantec и Carbon Black, входящих в Broadcom, проанализировав недавние инциденты.
По их данным, Medusa использовали против неназванной структуры на Ближнем Востоке. Та же группа попыталась атаковать медицинскую организацию в США, однако эта операция завершилась неудачей. Medusa работает по модели «вымогатель как услуга» и запущена киберпреступной группой Spearwing в 2023 году. С момента появления операторы заявили о более чем 366 атаках.
Анализ сайта утечек Medusa показал, что с начала ноября 2025 года жертвами стали как минимум четыре американские организации, связанные со здравоохранением и некоммерческим сектором. Среди них — структура в сфере психического здоровья и образовательное учреждение для детей с аутизмом. Неясно, во всех ли случаях за атаками стояли северокорейские операторы или часть эпизодов связана с другими партнёрами Medusa. Средний размер требований в этот период составлял около 260 тысяч долларов.
Использование вымогателей для Lazarus Group не ново. Ещё в 2021 году одно из подразделений, известное как Andariel, атаковало компании в Южной Корее, Японии и США с помощью собственных семейств вредоносного ПО, включая SHATTEREDGLASS, Maui и H0lyGh0st. Осенью 2024 года эту же структуру связали с применением вымогателя Play, что стало переходом к использованию готовых решений вместо разработки собственного кода.
Связанная с КНДР хакерская группировка Lazarus Group расширила инструментарий и начала применять вымогатель Medusa при атаках на организации на Ближнем Востоке и в США. Об этом сообщили специалисты подразделения Symantec и Carbon Black, входящих в Broadcom, проанализировав недавние инциденты.
По их данным, Medusa использовали против неназванной структуры на Ближнем Востоке. Та же группа попыталась атаковать медицинскую организацию в США, однако эта операция завершилась неудачей. Medusa работает по модели «вымогатель как услуга» и запущена киберпреступной группой Spearwing в 2023 году. С момента появления операторы заявили о более чем 366 атаках.
Анализ сайта утечек Medusa показал, что с начала ноября 2025 года жертвами стали как минимум четыре американские организации, связанные со здравоохранением и некоммерческим сектором. Среди них — структура в сфере психического здоровья и образовательное учреждение для детей с аутизмом. Неясно, во всех ли случаях за атаками стояли северокорейские операторы или часть эпизодов связана с другими партнёрами Medusa. Средний размер требований в этот период составлял около 260 тысяч долларов.
Использование вымогателей для Lazarus Group не ново. Ещё в 2021 году одно из подразделений, известное как Andariel, атаковало компании в Южной Корее, Японии и США с помощью собственных семейств вредоносного ПО, включая SHATTEREDGLASS, Maui и H0lyGh0st. Осенью 2024 года эту же структуру связали с применением вымогателя Play, что стало переходом к использованию готовых решений вместо разработки собственного кода.