北韓駭客Lazarus使用勒索軟體Medusa在美國與中東發動攻擊

國家級駭客使用的勒索軟體，多半以自製工具為主，不過在過去一年多來，開始有部分北韓駭客採取新的策略，與勒索軟體駭客組織勾結，如今又有駭客團體跟進，再度引起資安公司的注意。

賽門鐵克與Carbon Black威脅獵捕團隊指出，北韓駭客組織Lazarus近期開始在攻擊行動裡使用勒索軟體Medusa，持續對美國醫療產業下手，但也在中東地區犯案。這些駭客在發動勒索軟體的過程裡，也使用自行打造的工具，例如：後門程式Comebacker、RAT木馬Blindingcan、瀏覽密碼擷取工具ChromeStealer，以及竊資軟體Infohook等。

研究人員未進一步透露Lazarus如何使用Medusa，但表示他們對於Medusa的網站進行分析，從去年11月開始，美國有4家醫療機構或非營利組織遭到攻擊，其中包含心理健康領域的非營利組織，以及自閉症兒童教育機構，平均贖金開價為26萬美元。不過，研究人員無法判斷網站列出的攻擊事故，是否全部都是Lazarus所為。

根據上述調查顯示，北韓駭客組織整體的戰術可能出現重大轉變，更加傾向加入現有的勒索軟體租用服務（Ransomware-as-a-Service，RaaS）團體，並成為附屬組織，而非自行打造相關工具。賽門鐵克與Carbon Black威脅獵捕團隊首席情報分析師Dick O'Brien向資安新聞網站The Hacker News透露，駭客的動機可能基於實務考量，認為租借現成工具的好處遠大於成為附屬組織的費用，而且，像是Medusa或是Qilin這些勒索軟體，都經過充分的考驗，北韓駭客不需陷入開發自有勒索軟體酬載的麻煩。

值得留意的是，北韓駭客與勒索軟體結盟的情況，至少可追溯至2024年。資安公司Palo Alto Networks於2024年10月，揭露駭客組織Andariel參與勒索軟體Play攻擊行動，Andariel疑似成為附屬組織，或擔任初始入侵掮客（Initial Access Broker，IAB）的角色；2025年3月另一組人馬Moonstone Sleet傳出與Qilin合作，後續借助此勒索軟體對韓國金融業發動供應鏈攻擊Korean Leaks。