Hackers Norte-Coreanos do Grupo Lazarus Vinculados a Ataques do Ransomware Medusa

Uma análise forense detalhada conectou o Grupo Lazarus — o braço cibernético mais conhecido da Coreia do Norte — a ataques do Medusa Ransomware contra hospitais e prestadores de serviços de saúde nos Estados Unidos. ## Medusa Ransomware: o que é? O Medusa é um ransomware-as-a-service (RaaS) que opera desde 2023. Diferente de outros grupos que apenas criptografam dados, o Medusa usa uma estratégia de dupla extorsão: criptografa os sistemas da vítima E ameaça publicar os dados roubados se o resgate não for pago. ## A conexão Lazarus Pesquisadores identificaram sobreposição significativa entre a infraestrutura do Medusa e campanhas anteriores atribuídas ao Lazarus: - Servidores de comando e controle compartilhados - Técnicas de ofuscação idênticas - Código de malware reutilizado de campanhas anteriores - Padrões de horário de operação consistentes com fuso horário da Coreia do Norte ## Por que hospitais? O setor de saúde é um alvo estratégico por múltiplas razões: 1. Sistemas críticos que não podem ficar offline (máxima pressão para pagar) 2. Dados extremamente sensíveis (registros médicos valem muito no mercado negro) 3. Orçamentos de segurança historicamente menores que outros setores 4. Sistemas legados difíceis de patchear Para a Coreia do Norte, ransomware é uma fonte significativa de receita para financiar programas de armamentos — o FBI estima que o Lazarus arrecadou mais de US$ 3 bilhões em criptomoedas nos últimos anos. ## Proteção para o setor de saúde - Segmentação de rede rigorosa entre sistemas clínicos e administrativos - Backups offline testados regularmente - Autenticação multifator em todos os sistemas críticos - Planos de resposta a incidentes testados e atualizados