Lazarus usa Medusa: Corea del Nord punta su ransomware-as-a-service e colpisce anche l’healthcare USA

News
Visite: 156

Il gruppo Lazarus, collegato alla Corea del Nord e noto anche con altri nomi operativi, è stato osservato mentre utilizzava il ransomware Medusa in una campagna che ha preso di mira almeno un ente non identificato in Medio Oriente. La stessa infrastruttura e gli stessi attori sono stati associati anche a un tentativo di attacco contro una organizzazione sanitaria negli Stati Uniti, segnalando un interesse concreto verso il settore healthcare, spesso critico per continuità operativa e sensibilità dei dati.

Medusa è un ransomware-as-a-service (RaaS) comparso nel 2023 e gestito da un gruppo criminale che recluta affiliati per condurre intrusioni, cifrare sistemi e richiedere riscatti. Secondo le analisi disponibili, la rete Medusa ha rivendicato centinaia di incidenti, con una media di richiesta di riscatto intorno a 260.000 dollari nel periodo osservato. Tra le vittime rivendicate compaiono anche organizzazioni non profit e realtà legate alla salute mentale e all’educazione, elementi che aumentano il rischio reputazionale e l’impatto sociale degli attacchi ransomware.

Lazarus non è nuovo all’uso di ransomware. In passato sono state attribuite a sottogruppi operazioni con famiglie sviluppate internamente e pensate per obiettivi specifici in Asia e negli Stati Uniti. Negli ultimi anni, però, emerge un cambio di strategia: invece di investire tempo nello sviluppo di un locker proprietario, alcuni attori statali sembrano preferire strumenti già collaudati e disponibili sul mercato criminale, come Medusa o altre varianti note. Questa scelta può essere letta in chiave di pragmatismo operativo, riduzione dei costi di sviluppo e velocità di esecuzione, anche se comporta possibili fee e vincoli tipici dei programmi di affiliazione.

La catena di attacco osservata include una combinazione di tool personalizzati e strumenti pubblici. Tra questi figurano:

  • Proxy dedicato
  • Utility per il furto di credenziali (Mimikatz)
  • Backdoor su misura già viste in altre campagne
  • Componenti per la raccolta di informazioni
  • Tool per estrarre password salvate in Chrome

La presenza di un arsenale misto è un segnale tipico di operazioni mature, capaci di adattarsi rapidamente all’ambiente della vittima e di massimizzare le possibilità di movimento laterale e accesso privilegiato prima della cifratura.

Pin It
, , , , ,

Per rimanere aggiornato iscriviti alla nostra newsletter

Cyber pillole più lette

Articoli più letti

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2026 Fata Informatica. Tutti i diritti riservati.
Iscriviti ora al Webinar di presentazione del corso CISO! Scopri di più
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta