Peretas yang didukung negara Korea Utara yang terkait dengan kelompok ancaman Lazarus menargetkan organisasi layanan kesehatan AS dalam serangan pemerasan menggunakan ransomware Medusa.
Operasi Medusa ransomware-as-a-service (RaaS) muncul pada bulan Januari 2021, dan pada bulan Februari 2025, operasi tersebut berdampak pada lebih dari 300 organisasi di berbagai sektor infrastruktur penting. Sejak itu, geng tersebut memakan sedikitnya 80 korban lagi.
Aktor ancaman Korea Utara sebelumnya telah dikaitkan dengan jenis ransomware lain seperti Roh Kudus, BERMAIN, Maui, Lakukan ituserta keluarga malware lainnya. Namun, ini adalah pertama kalinya peneliti keamanan mengaitkan aktor tersebut dengan Medusa.
Dalam sebuah laporan hari ini, perusahaan keamanan siber perusahaan Symantec mengatakan bahwa subkelompok Lazarus, kemungkinan Andariel/Stonefly, kini menggunakan Medusa dalam serangan siber bermotif finansial yang menargetkan penyedia layanan kesehatan AS.
Menurut para peneliti, perangkat yang digunakan dalam serangan ini juga menunjukkan adanya hubungan dengan Diamond Sleet, kelompok Korea Utara lainnya yang biasanya menargetkan industri media, pertahanan, dan TI.
Namun, beberapa utilitas yang terlihat dalam serangan ransomware Medusa adalah alat komoditas:
- Comebacker – Backdoor/loader yang terhubung dengan Diamond Sleet (terlihat digunakan oleh Diamond Sleet)
- Blindingcan – trojan akses jarak jauh
- ChromeStealer – Ekstraktor kredensial Chrome
- Infohook – Pencuri informasi
- Mimikatz – Alat pembuangan kredensial
- RP_Proxy – Alat proksi khusus
- Curl – Alat transfer data
Para peneliti berkomentar bahwa tidak ada sektor yang terlarang bagi peretas Korea Utara, yang terus terlibat dalam kejahatan dunia maya demi keuntungan finansial.
“Meskipun beberapa kelompok kejahatan dunia maya mengaku tidak menargetkan organisasi layanan kesehatan karena dapat merusak reputasi, Lazaurs tampaknya tidak dibatasi dalam hal apa pun,” Symantec kata peneliti.
Medusa menargetkan beberapa organisasi kesehatan dan nirlaba di AS, karena situs kebocoran data geng tersebut mencantumkan empat korban serupa sejak awal November 2025, di antaranya adalah fasilitas pendidikan untuk anak-anak autis.
Namun, tidak semua serangan Medusa ini dapat dikaitkan dengan peretas Lazarus. Medusa dapat meminta uang tebusan sebesar $15 juta, namun peneliti Symantec mengatakan bahwa rata-ratanya adalah sekitar $260,000.
Dana yang dicuri digunakan untuk mendukung operasi spionase terhadap entitas di sektor pertahanan, teknologi, dan pemerintahan di AS, Taiwan, dan Korea Selatan.
Symantec telah menyediakan serangkaian indikator kompromi (IoC) dalam laporannya, yang mencakup data infrastruktur jaringan dan hash untuk malware yang digunakan dalam serangan.
Masa depan infrastruktur TI telah tiba
Infrastruktur TI modern bergerak lebih cepat dibandingkan dengan alur kerja manual.
Dalam panduan Tines baru ini, pelajari bagaimana tim Anda dapat mengurangi penundaan manual yang tersembunyi, meningkatkan keandalan melalui respons otomatis, dan membangun serta menskalakan alur kerja cerdas di atas alat yang sudah Anda gunakan.
