Atividade atribuída ao grupo norte-coreano combina ransomware como serviço, tentativa contra organização de saúde e ferramentas de roubo de informações, incluindo InfoHook e ChromeStealer.
| Componente | Operação atribuída ao Lazarus Group usando o ransomware Medusa, além das ferramentas InfoHook e ChromeStealer. |
| Vetor | Uso de ransomware como serviço por operador afiliado ou associado, com atividade observada contra uma entidade no Oriente Médio e uma tentativa malsucedida contra uma organização de saúde nos EUA. |
| Impacto | Risco de criptografia de sistemas e extorsão por resgate; o ataque contra saúde nos EUA foi descrito como malsucedido, sem confirmação de comprometimento bem-sucedido nesse caso. |
| Prioridade | Revisar telemetria de endpoint, credenciais armazenadas em navegadores, sinais de ferramentas de roubo de informações e exposição a ransomware em organizações de saúde, educação, saúde mental e entidades no Oriente Médio. |
| Artefatos | InfoHook foi associado a roubo de informações em conjunto com Comebacker; ChromeStealer tem função de extrair senhas armazenadas no navegador Chrome. |
| Contexto | Medusa é uma operação de ransomware como serviço lançada em 2023 pelo grupo cibercriminoso Spearwing e já reivindicou mais de 366 ataques. |
Uma atividade atribuída ao grupo Lazarus, associado à Coreia do Norte e também conhecido como Diamond Sleet e Pompilus, foi observada usando o ransomware Medusa em um ataque contra uma entidade não identificada no Oriente Médio. A mesma atribuição também aparece em uma tentativa malsucedida contra uma organização de saúde nos Estados Unidos. O ponto técnico mais relevante é a adoção de um ransomware como serviço já estabelecido, em vez de uma família totalmente própria, o que reduz o esforço de desenvolvimento do operador e aproxima a atividade de modelos de afiliação usados por ecossistemas criminosos de extorsão.
Medusa é descrito como uma operação de ransomware como serviço lançada em 2023 por um grupo chamado Spearwing. A operação já reivindicou mais de 366 ataques, e seu site de vazamento passou a listar organizações de saúde e sem fins lucrativos dos Estados Unidos desde o começo de novembro de 2025. Entre as vítimas citadas no período aparecem uma entidade sem fins lucrativos do setor de saúde mental e uma instituição educacional para crianças autistas. O valor médio de resgate mencionado para esse conjunto foi de 260 mil dólares, mas não há confirmação de que todos esses casos tenham sido conduzidos por operadores norte-coreanos; parte deles pode ter relação com outros afiliados do próprio ecossistema Medusa.
A mudança observada não surge de forma isolada. Em 2021, um subgrupo associado ao Lazarus, referido como Andariel ou Stonefly, já havia sido observado usando famílias de ransomware próprias, incluindo SHATTEREDGLASS, Maui e H0lyGh0st, contra entidades na Coreia do Sul, Japão e Estados Unidos. Em outubro de 2024, a mesma frente de atividade foi vinculada a um ataque com Play ransomware, indicando passagem para um locker pronto para criptografar sistemas e sustentar cobrança de resgate. Outro ator norte-coreano, Moonstone Sleet, anteriormente ligado ao ransomware FakePenny, também teria usado Qilin contra empresas financeiras sul-coreanas. O conjunto sugere uma preferência crescente por payloads já testados no ecossistema criminoso.
O fluxo técnico sustentado pelo contexto envolve a combinação de ransomware como serviço, ferramentas de coleta de informação e tentativa de monetização por extorsão. A cadeia não foi detalhada com vetor inicial, exploração de vulnerabilidade, credenciais usadas ou movimento lateral confirmado, portanto não é possível afirmar como o acesso inicial ocorreu. O dado confirmado é que o ransomware Medusa foi empregado em pelo menos uma intrusão contra uma entidade no Oriente Médio e que houve uma tentativa malsucedida contra uma organização de saúde nos EUA. Para defesa, isso limita a conclusão operacional: a hipótese principal deve ser intrusão orientada a extorsão, mas sem presumir CVE, phishing, RDP, VPN, exploração ativa ou técnica específica que não conste no material recebido.
A campanha também inclui ferramentas voltadas a informação e credenciais. InfoHook é descrito como um ladrão de informações previamente identificado em uso conjunto com Comebacker. ChromeStealer é descrito como uma ferramenta para extrair senhas armazenadas no navegador Chrome. Esses artefatos ampliam a preocupação para além da criptografia final, porque a preparação de uma intrusão de ransomware costuma depender de reconhecimento interno, coleta de credenciais e obtenção de material útil para manter acesso. Ainda assim, não há confirmação de quais dados foram efetivamente coletados nos casos citados, nem de que senhas tenham sido extraídas em uma organização específica.
A adoção de Medusa por operadores atribuídos ao Lazarus é tecnicamente significativa porque separa a capacidade de intrusão da necessidade de manter um ransomware próprio. Um afiliado pode usar um locker existente, pagar taxas ou dividir receita e concentrar esforço em acesso, persistência, credenciais e seleção de alvos. O contexto também mostra uma sobreposição com padrões anteriores associados a Andariel, mas a atividade atual não foi vinculada a um subgrupo específico. Portanto, a atribuição deve ser tratada como Lazarus em sentido amplo, sem converter similaridade tática em identificação precisa de célula operacional.
A superfície citada envolve uma entidade não nomeada no Oriente Médio e organizações ligadas a saúde, saúde mental, educação especializada e setor sem fins lucrativos nos Estados Unidos. O ataque contra a organização de saúde nos EUA foi descrito como malsucedido, o que torna inadequado afirmar impacto operacional nessa vítima. O risco defensivo permanece relevante porque ambientes de saúde geralmente concentram sistemas de identidade, estáções administrativas, navegadores com senhas salvas, aplicações clínicas, documentos sensíveis e janelas estreitas de indisponibilidade, mesmo quando o caso específico não confirma criptografia bem-sucedida.
A presença de entidades sem fins lucrativos e educacionais no site de vazamento do Medusa desde novembro de 2025 mostra que a seleção de alvos não se limita a setores com grande capacidade financeira. O contexto não confirma se todos esses registros foram operados por atores norte-coreanos, e essa incerteza é importante para times de inteligência: o mesmo ransomware pode aparecer em incidentes conduzidos por afiliados diferentes, com motivações e técnicas distintas. A defesa deve separar indicadores do ecossistema Medusa, artefatos associados ao Lazarus e sinais genéricos de intrusão de ransomware.
- Entidade não identificada no Oriente Médio foi alvo de ataque com Medusa atribuído ao Lazarus.
- Organização de saúde nos Estados Unidos sofreu tentativa descrita como malsucedida.
- Site de vazamento do Medusa listou quatro organizações de saúde e sem fins lucrativos nos EUA desde o início de novembro de 2025.
- Setores citados incluem saúde mental e educação para crianças autistas.
- Não há confirmação de que todos os casos listados pelo Medusa tenham sido conduzidos por operadores norte-coreanos.
A investigação defensiva deve começar pela telemetria de endpoint e identidade em torno de comportamentos compatíveis com intrusão de ransomware, sem assumir um vetor inicial específico. Como o contexto cita InfoHook e ChromeStealer, é necessário priorizar sinais de coleta de credenciais, acesso a armazenamento de senhas do Chrome e execução de ferramentas incomuns em estáções administrativas. A busca deve considerar processos que interajam com perfis de navegador, tentativas de leitura de bancos de dados locais de credenciais, cópias de diretórios de perfil e execução de binários não reconhecidos em hosts de usuários com acesso privilegiado.
No lado de rede, a ausência de domínios, endereços IP ou portas impede a publicação de indicadores concretos. A abordagem mais útil é procurar conexões incomuns originadas de endpoints sensíveis após execução de binários suspeitos, alterações de padrão de tráfego antes de eventos de criptografia e autenticações anômalas em contas que normalmente não acessam múltiplos sistemas. Para ambientes de saúde e organizações sem fins lucrativos, a correlação entre autenticação, execução de ferramentas e alterações em arquivos deve ser feita com atenção a janelas fora do horário normal e a contas usadas em sistemas compartilhados.
A telemetria também deve separar a etapa de preparação da etapa de impacto. Sinais de roubo de informação ou acesso a senhas podem aparecer antes de qualquer evento de ransomware. Da mesma forma, a presença de Medusa em um ambiente não prova, por si só, que a intrusão foi conduzida por Lazarus, já que a própria operação funciona como ransomware como serviço. A atribuição precisa de convergência entre artefatos, infraestrutura, comportamento, alvo e histórico operacional, e não apenas do nome do locker observado.
- Execução de binários desconhecidos com acesso a perfis locais do Chrome.
- Tentativas de leitura ou cópia de armazenamento de senhas de navegador em estáções de usuário.
- Atividade associada a
InfoHook,ChromeStealerou artefatos relacionados aComebacker. - Autenticações anômalas em contas administrativas ou contas de serviço antes de eventos de criptografia.
- Criação, modificação ou renomeação em massa de arquivos em servidores e compartilhamentos internos.
- Comunicações de saída incomuns após execução de ferramentas de coleta de informação.
A resposta deve priorizar contenção de endpoints suspeitos, preservação de evidências e revisão de credenciais expostas. Em qualquer ambiente no qual haja suspeita de ChromeStealer ou ferramenta equivalente, a rotação de senhas deve considerar que credenciais armazenadas no navegador podem ter sido acessadas. A ação não deve se limitar à conta do usuário interativo: sessões persistentes, tokens de aplicações, credenciais reutilizadas e acessos administrativos usados a partir da estáção afetada também precisam ser revisados. Quando houver sinais de ransomware, isolamento de sistemas com comportamento de criptografia deve ocorrer antes de limpeza ou reinstalação, para manter material forense suficiente.
Organizações dos setores de saúde, saúde mental, educação e entidades sem fins lucrativos devem validar a segmentação entre estáções de trabalho, servidores de arquivos, sistemas críticos e diretórios de identidade. A atividade descrita reforça a necessidade de reduzir dependência de senhas salvas em navegador, aplicar autenticação multifator onde houver acesso sensível e monitorar contas com privilégios elevados. Como o contexto não fornece CVE, versão vulnerável nem produto explorado, a mitigação não é um patch único; ela depende de endurecimento de identidade, visibilidade de endpoint, backup testado e bloqueio de execução de ferramentas não autorizadas.
A validação pós-incidente deve confirmar se houve apenas tentativa, execução parcial ou impacto de criptografia. Para casos envolvendo Medusa, a existência de menção em site de vazamento deve ser tratada como alegação de operador até que evidências internas confirmem exfiltração, criptografia ou acesso a dados. Times de DFIR devem documentar linha do tempo, contas usadas, hosts tocados, ferramentas executadas e escopo de arquivos afetados. Atribuição a Lazarus ou a qualquer subgrupo deve permanecer condicionada aos artefatos técnicos disponíveis, especialmente porque o modelo de ransomware como serviço permite que afiliados distintos usem o mesmo locker.
- Isolar hosts com execução suspeita de ferramentas de roubo de informação ou comportamento de criptografia.
- Coletar imagem forense, logs de endpoint, autenticação e rede antes de remover artefatos.
- Rotacionar credenciais potencialmente armazenadas em navegadores de máquinas afetadas.
- Revisar contas privilegiadas, contas de serviço e sessões persistentes usadas a partir dos endpoints investigados.
- Bloquear execução de binários não autorizados e aplicar controles de aplicação em estáções administrativas.
- Testar restauração de backups e validar que cópias críticas não estejam acessíveis por credenciais comuns.
- Tratar publicações em site de vazamento como alegação até confirmação por evidência interna.
0 Comentários