La menace que représente le groupe Lazarus s’intensifie avec l’adoption de nouveaux outils. Historiquement lié aux ransomwares Maui et Play, le groupe diversifie ses méthodes en s’associant à des opérations de ransomware-as-a-service (RaaS) comme Medusa. Un moyen de maximiser les gains financiers pour la Corée du Nord ?
Plusieurs outils pour les cybarattaques
Selon un rapport de Threat Hunter Team (Symantec et Carbon Black), les récentes intrusions attribuées à Lazarus révèlent un arsenal d’outils bien défini. Parmi eux, la backdoor Comebacker et le cheval de Troie d’accès à distance Blindingcan qu’affectionne Lazarus.
Même si les cyberattaques ont principalement un objectif financier, certaines techniques et procédures font aussi penser à une branche de Lazarus spécialisée dans le cyberespionnage.
Par ailleurs, des outils comme Comebacker ont aussi pu être associés par le passé à un autre groupe nord-coréen portant le nom de Pompilus (ou Diamond Sleet). Cela complique le traçage précis des responsabilités.
Le secteur de la santé en cible privilégiée
Les organisations du secteur de la santé américain sont une cible privilégiée, et la vitrine des fuites de données de Medusa en liste plusieurs dans ce domaine. Cette concentration s’explique par la nature des données détenues et la forte pression pour payer la rançon afin d’assurer la continuité des soins.
Contrairement à certains groupes cybercriminels qui évitent de cibler les hôpitaux pour des raisons d’image, les acteurs liés à la Corée du Nord semblent être bien moins regardants.
Les fonds récoltés via ces extorsions serviraient à financer les activités d’espionnage de la Corée du Nord contre des secteurs stratégiques aux États-Unis, à Taïwan et en Corée du Sud.
Une collaboration entre un groupe étatique et un service cybercriminel
Le passage au ransomware Medusa serait un signe de l’implication de la Corée du Nord dans la cybercriminalité qui se poursuit et avec une capacité d’adaptation. Le recours à un modèle de RaaS permet à Lazarus de démultiplier sa force de frappe, tout en mutualisant les risques et les infrastructures.