Kuzey Kore kaynaklı Lazarus Grubu, Medusa fidye yazılımı hizmeti (RaaS) kapsamında Orta Doğu ve ABD’deki sağlık sektörüne yönelik saldırılar düzenliyor. 2023 yılında Spearwing adlı siber suç grubu tarafından başlatılan Medusa, bugüne kadar 366’dan fazla saldırı gerçekleştirdiğini iddia ediyor. Lazarus’un Medusa kullanımı, grubun özel fidye yazılımlarından hazır RaaS çözümlerine geçişini işaret ediyor.
Saldırının Genel Çerçevesi
Son raporlara göre, Lazarus Grubu Orta Doğu’da ismi açıklanmayan bir hedefe Medusa fidye yazılımı ile saldırırken, ABD’de ise sağlık ve kar amacı gütmeyen kuruluşlara yönelik başarısız bir girişim tespit edildi. Mağdurlar arasında ruh sağlığı alanında faaliyet gösteren kar amacı gütmeyen kuruluşlar ve otistik çocuklar için eğitim tesisleri bulunuyor. Fidye talepleri ortalama 260.000 dolar seviyesinde gerçekleşiyor.
Bu saldırılar, Lazarus’un daha önce kullandığı Andariel, Play ve Qilin gibi fidye yazılımı varyantlarından farklı olarak, hazır RaaS çözümlerine yöneldiğini gösteriyor. Bu stratejik değişim, grubun kendi fidye yazılımı geliştirmek yerine, Medusa gibi test edilmiş tehditleri kullanarak operasyonel verimliliği artırma amacını yansıtıyor.
Saldırı Zinciri ve Teknik Detaylar
Kampanyada kullanılan araçlar arasında RP_Proxy (özel proxy aracı), Mimikatz (kimlik bilgisi toplama aracı), Comebacker (özgün arka kapı), InfoHook (bilgi hırsızı), BLINDINGCAN (uzaktan erişim trojanı) ve ChromeStealer (Chrome şifrelerini çalma aracı) yer alıyor. Bu araçlar, saldırıların karmaşık ve çok aşamalı bir yapıya sahip olduğunu gösteriyor.
Tipik saldırı zinciri şu adımlardan oluşuyor:
- Başlangıçta kimlik avı veya zafiyet istismarı ile erişim sağlanması,
- Kimlik bilgisi toplama ve ağda hareket kabiliyeti için Mimikatz ve RP_Proxy kullanımı,
- Comebacker ve InfoHook ile kalıcı erişim ve veri sızıntısı,
- BLINDINGCAN ile uzaktan kontrol ve ChromeStealer ile şifrelerin ele geçirilmesi,
- Son aşamada Medusa fidye yazılımı ile sistemlerin şifrelenmesi ve fidye talebi.
Siber Güvenlik Ekipleri İçin Öneriler
- EDR ve SIEM sistemlerinde RP_Proxy, Comebacker ve BLINDINGCAN gibi araçların davranışlarını izlemek için özel kurallar oluşturun.
- Kimlik bilgisi hırsızlığına karşı Mimikatz benzeri araçların kullanımını tespit etmek için logları düzenli analiz edin.
- Fidye yazılımı saldırılarına karşı düzenli yama yönetimi ve CVE takibi yaparak bilinen zafiyetleri kapatın.
- Çok faktörlü kimlik doğrulama (MFA) uygulayarak kimlik avı ve kimlik bilgisi hırsızlığı riskini azaltın.
- Ağ segmentasyonu ile kritik sistemleri izole ederek saldırının yayılmasını engelleyin.
- Olay müdahale (incident response) planlarını güncel tutun ve fidye yazılımı vakalarında hızlı aksiyon alın.
- E-posta güvenliği çözümlerini güçlendirerek phishing saldırılarını önleyin.
- Tarayıcı ve uygulama şifre yöneticilerinin güvenliğini artırmak için ChromeStealer gibi araçlara karşı önlemler geliştirin.
Medusa ve RaaS Modellerinde Yeni Trendler
Lazarus Grubu’nun Medusa kullanımı, Kuzey Koreli tehdit aktörlerinin fidye yazılımı alanında pragmatik bir yaklaşım benimsediğini ortaya koyuyor. Özel fidye yazılımlar geliştirmek yerine, RaaS platformlarıyla iş birliği yaparak operasyonel maliyetleri düşürüp saldırı sayısını artırmayı hedefliyorlar. Bu durum, sağlık sektörü gibi hassas alanlarda risklerin artmasına neden oluyor.
Medusa’nın fidye yazılımı saldırılarında özellikle sağlık ve kar amacı gütmeyen kuruluşların hedef alınması, bu sektörlerdeki güvenlik açıklarının ve kritik veri değerinin siber suçlular tarafından fark edildiğini gösteriyor. Bu nedenle, bulut güvenliği ve ağ segmentasyonu gibi önlemler sağlık kuruluşları için öncelikli hale geliyor.