Hackers ligados ao governo norte-coreano e associados ao grupo Lazarus estão mirando organizações de saúde dos Estados Unidos em ataques de extorsão com o ransomware Medusa.
O Medusa, operando no modelo ransomware-as-a-service (RaaS), surgiu em janeiro de 2021 e, até fevereiro de 2025, já havia afetado mais de 300 organizações em diversos setores de infraestrutura crítica.
Desde então, o grupo reivindicou pelo menos mais 80 vítimas.
Anteriormente, atores norte-coreanos foram relacionados a outras variantes de ransomware, como HolyGhost, PLAY, Maui e Qilin, além de outras famílias de malware.
No entanto, esta é a primeira vez que pesquisadores de segurança associam diretamente esses agentes ao Medusa.
Em um relatório recente, a empresa de segurança cibernética Symantec aponta que um subgrupo do Lazarus, possivelmente Andariel/Stonefly, vem utilizando o Medusa em ataques motivados financeiramente contra provedores de saúde nos EUA.
De acordo com os pesquisadores, as ferramentas usadas nesses ataques também têm ligação com o grupo Diamond Sleet, outro ator norte-coreano que tradicionalmente mira os setores de mídia, defesa e tecnologia da informação.
Entre as ferramentas empregadas nas ofensivas com Medusa, destacam-se utilities bastante comuns no meio:
- Comebacker – backdoor/loader vinculado ao Diamond Sleet
- Blindingcan – trojan de acesso remoto
- ChromeStealer – extrator de credenciais do navegador Chrome
- Infohook – ferramenta de roubo de informações
- Mimikatz – ferramenta de extração de credenciais
- RP_Proxy – proxy customizado
- Curl – ferramenta para transferência de dados
Os pesquisadores ressaltam que nenhum segmento está imune às ações dos hackers norte-coreanos, que seguem investindo em crimes cibernéticos com foco em ganhos financeiros.
“Enquanto alguns grupos de cibercrime evitam atacar organizações de saúde por temer danos à reputação, o Lazarus claramente não demonstra essa restrição”, destacam especialistas da Symantec.
O Medusa tem como alvo múltiplas organizações de saúde e instituições sem fins lucrativos nos EUA.
O site utilizado pelo grupo para vazamento de dados divulgou quatro vítimas nesse segmento desde novembro de 2025, incluindo uma instituição educacional para crianças autistas.
Nem todos os ataques atribuídos ao Medusa são confirmadamente vinculados ao Lazarus.
O grupo costuma exigir resgates que podem chegar a US$ 15 milhões, mas a média gira em torno de US$ 260 mil, segundo a Symantec.
Os valores obtidos com esses crimes ajudam a financiar operações de espionagem contra entidades dos setores de defesa, tecnologia e governo dos Estados Unidos, Taiwan e Coreia do Sul.
A Symantec disponibilizou em seu relatório um conjunto de indicadores de comprometimento (IoCs), contendo dados da infraestrutura de rede e hashes dos malwares empregados nessas investidas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...