Giriş
Son zamanlarda Kuzey Kore ile bağlantılı Lazarus Group ‘un, Medusa ransomware kullanarak Orta Doğu’daki bir kuruluşu hedef alan bir saldırı gerçekleştirdiği belirlenmiştir. Bu olay, siber güvenlik alanındaki tehditlerin ciddiyetini gösterirken, sağlık sektörüne ve diğer insani kuruluşlara yönelik siber saldırıların artması, sektördeki güvenliği daha da kritik hale getirmektedir.
Saldırı Nasıl Çalışıyor?
Medusa , 2023 yılında Spearwing adlı siber suç grubu tarafından başlatılan bir ransomware-as-a-service (RaaS) operasyonudur. Symantec ve Carbon Black Threat Hunter ekibinin yaptığı araştırmaya göre, Lazarus Group bugüne kadar 366’dan fazla saldırı düzenlemiştir. 2025 yılı Kasım ayından itibaren, ABD’deki dört sağlık ve kar amacı gütmeyen kuruluşun hedef alındığı tespit edilmiştir.
- Bunlar arasında zihinsel sağlık sektöründeki bir kar amacı gütmeyen kuruluş ve otistik çocuklar için eğitim veren bir tesis bulunmaktadır.
- Söz konusu saldırıların arkasında kimin olduğu henüz tam olarak bilinmemektedir. Ancak ortalama fidye talebi, 260,000 $ civarında olmuştur.
Etkilenen Sistemler
Lazarus Group ‘un daha önce SHATTEREDGLASS , Maui ve H0lyGh0st gibi özelleştirilmiş ransomware’lerle saldırılar gerçekleştirdiği gözlemlenmiştir. 2024 yılında gerçekleşen bir Play ransomware saldırısı, grubun kurban sistemlerini şifrelemek ve fidye talep etmek için off-the-shelf bir çözüme geçtiğini göstermektedir. Bu tür bir değişim, Kuzey Koreli hacking gruplarının artık kendi araçlarını geliştirmektense, mevcut RaaS gruplarıyla işbirliği yaptığına işaret etmektedir.
Korunma Yöntemleri
Lazarus Group ‘un Medusa ransomware kampanyası çeşitli araçlar kullanmaktadır:
- RP_Proxy, özel bir proxy aracı
- Mimikatz, genel olarak erişilebilir bir kimlik bilgisi toplayıcı program
- Comebacker, sadece bu tehdit aktörü tarafından kullanılan özel bir arka kapı
- InfoHook, Comebacker ile birlikte kullanılan bir bilgi hırsızı
- BLINDINGCAN (aka AIRDRY veya ZetaNile), bir uzaktan erişim truva atı
- ChromeStealer, Chrome tarayıcısındaki kaydedilmiş parolaları çıkaran bir araç
Sonuç ve Aksiyon
Kuzey Koreli aktörlerin ABD’deki kuruluşlara yönelik siber saldırıları, siber suç aktivitelerinin devam ettiğini göstermektedir. Sağlık kuruluşlarına yapılan saldırılara karşın birçok siber suç grubu dikkatli davranırken, Lazarus Group ‘un bu sınırlamalara tabi olmadığı gözlemlenmektedir.
Kullanıcılar ve kuruluşlar için öneriler:
- Sistemlerinizi güncel tutun ve gerekli güvenlik yamalarını uygulayın.
- Gereksiz portları kapatın ve ağ güvenliğinizi artırın.
- Veri yedekleme prosedürlerinizi gözden geçirin ve test edin.
Siber güvenlik tehditlerine karşı proaktif olmak, olası saldırıların etkisini minimize etmek için kritik öneme sahiptir.
