O grupo Lazarus, conhecido por suas operações sofisticadas de ciberespionagem e ataques cibernéticos patrocinados pelo Estado da Coreia do Norte, adotou recentemente o ransomware Medusa em campanhas direcionadas ao setor de saúde. Pesquisas da Symantec e da Carbon Black revelaram que o grupo, anteriormente focado em ferramentas próprias como Mimikatz e BLINDINGCAN, passou a utilizar soluções prontas de Ransomware-as-a-Service (RaaS) para expandir seu alcance e reduzir o tempo de desenvolvimento. Essa transição evidencia um novo nível de sofisticação e alerta para administradores de TI e profissionais de segurança cibernética sobre os riscos emergentes.
Essa mudança de abordagem aumenta a eficiência dos ataques, permitindo que o Lazarus concentre esforços em infiltração e evasão, enquanto utiliza softwares de terceiros para encriptação e exfiltração de dados. A consequência direta é o aumento do risco para instituições críticas, especialmente hospitais, clínicas e centros de pesquisa médica, que dependem de sistemas digitais altamente sensíveis.
Além disso, o uso do Medusa evidencia uma tendência preocupante no panorama global de ameaças estatais: grupos patrocinados por nações estão migrando de operações personalizadas para serviços prontos, aproveitando-se da economia de tempo e da redução de rastreabilidade, o que complica ainda mais a detecção e resposta.
A mudança de tática: do personalizado para o RaaS
Historicamente, o grupo Lazarus desenvolvia internamente quase todas as suas ferramentas, como o infame BLINDINGCAN, voltadas para espionagem e ataques direcionados. No entanto, o surgimento de Ransomware-as-a-Service (RaaS) como o Medusa trouxe vantagens estratégicas: implantação mais rápida, manutenção terceirizada e anonimato reforçado. Essa mudança permite que o Lazarus ataque de forma mais flexível setores sensíveis, sem o ônus de manter toda a infraestrutura de ransomware internamente.
Analistas de segurança destacam que essa transição também reduz o risco de exposição do grupo. Ao adotar soluções de terceiros, os ataques ficam mais difíceis de atribuir diretamente ao Lazarus, tornando a investigação de incidentes mais complexa e exigindo respostas mais robustas de defesa cibernética.
O que é o ransomware Medusa?
O Medusa é um ransomware comercializado pelo grupo Spearwing, funcionando no modelo de Ransomware-as-a-Service (RaaS). Ele permite que afiliados distribuam malware e recebam uma porcentagem do resgate pago. O software possui recursos avançados de encriptação de arquivos, técnicas de evasão e mecanismos de persistência, tornando-o ideal para grupos estatais que buscam agilidade e impacto. Além disso, o Medusa suporta múltiplos vetores de infecção, incluindo phishing, acesso remoto comprometido e exploração de vulnerabilidades conhecidas.
O uso do Medusa pelo Lazarus marca uma mudança estratégica: a adoção de uma solução de prateleira altamente eficiente, combinada com o conhecimento técnico avançado do grupo em infiltração e movimentação lateral, maximiza o dano potencial em alvos críticos.
Alvos sensíveis: o setor de saúde na mira
Recentes investigações indicam que o grupo Lazarus tem direcionado ataques a instituições de saúde mental e educação infantil, setores que lidam com dados altamente sensíveis e que muitas vezes apresentam defesas digitais limitadas. Hospitais e clínicas tornaram-se alvos ideais para o ransomware Medusa, uma vez que interrupções em sistemas críticos podem pressionar as vítimas a pagar rapidamente os resgates.
A escolha do setor de saúde não é casual. Além do impacto humanitário, ataques bem-sucedidos garantem exposição midiática e efeito geopolítico, reforçando a estratégia do Lazarus de utilizar o cibercrime como ferramenta de pressão e obtenção de recursos financeiros ou estratégicos.
O arsenal técnico do Lazarus nesta campanha
Apesar de adotar soluções terceirizadas, o grupo Lazarus continua empregando um arsenal técnico sofisticado para suportar suas operações. Entre as ferramentas utilizadas estão:
- Comebacker: malware voltado para exfiltração de credenciais e movimentação lateral em redes corporativas.
- InfoHook: ferramenta de coleta de informações sensíveis, incluindo dados de sistemas e usuários.
- ChromeStealer: captura credenciais e cookies de navegadores, facilitando o acesso a contas críticas e sistemas internos.
Essas ferramentas, combinadas com o Medusa, permitem que o Lazarus tenha controle quase total sobre o ambiente alvo antes, durante e após a execução do ransomware, garantindo eficácia e persistência.
Conclusão e o futuro das ameaças estatais
A adoção do ransomware Medusa pelo grupo Lazarus evidencia uma evolução preocupante nas táticas de ameaças estatais. A migração de ferramentas próprias para serviços de RaaS reduz custos operacionais e aumenta a velocidade dos ataques, enquanto mantém a sofisticação e a evasão características do grupo norte-coreano. Para organizações críticas, especialmente no setor de saúde, o alerta é claro: reforçar defesas, atualizar sistemas e treinar equipes é essencial para mitigar o risco crescente.
À medida que grupos patrocinados por Estados adaptam-se às tecnologias comerciais de cibercrime, a vigilância constante, inteligência de ameaças e compartilhamento de informações tornam-se pilares estratégicos para manter a resiliência digital e proteger dados sensíveis contra operações cada vez mais avançadas.
