Medusa ransomware a změna modelu útoků
Ransomwarová skupina Medusa se v posledních měsících dostala do nového světla – výzkumníci ze Symantecu a Carbon Black odhalili, že ransomware skupiny Medusa začala využívat severokorejská státem sponzorovaná skupina Lazarus (také sledovaná jako Diamond Sleet nebo Pompilus). Lazarus zaútočil na organizaci na Blízkém východě a pokusil se – neúspěšně – o průnik do zdravotnické organizace v USA.
Medusa funguje od roku 2023 jako ransomware-as-a-service (RaaS), který provozuje kyberzločinecká skupina Spearwing. Affiliáti nasazují ransomware výměnou za podíl na výkupném. Od spuštění si skupina připsala přes 366 útoků. Mezi oběťmi figurují čtyři americké zdravotnické a neziskové organizace napadené od listopadu 2025, včetně zařízení pro děti s autismem. Průměrná výše požadovaného výkupného v tomto období činila přibližně 260 000 USD.
Zapojení Lazarusu do Medusy není náhodné. Skupina má dlouhou historii finančně motivovaných útoků – od krádeží kryptoměn po ransomwarové kampaně. Dříve byla spojována s rodinami ransomwaru Maui, HolyGhost a Play. Přechod na Medusu ukazuje, jak severokorejští aktéři průběžně rozšiřují svůj arzenál.
Moderní ransomwarové útoky přitom nekončí šifrováním. Útočníci před samotným zásahem data exfiltrují a vyhrožují jejich zveřejněním. To znamená souběžné riziko provozního výpadku, porušení ochrany osobních údajů, povinnosti hlášení regulátorům i reputačního dopadu.
Pro správce kritické infrastruktury z toho plyne, že ransomware není pouze technická hrozba – je to otázka řízení rizik na úrovni vedení organizace. Klíčové jsou pravidelné testy obnovy záloh, připravený krizový plán a monitorování přenosů dat.
Zdroj
Další články
CISA vydala nouzovou direktivu: Cisco SD-WAN systémy jsou pod aktivním globálním útokem
Medusa ransomware a změna modelu útoků
