Noord-Koreaanse Lazarus zet Medusa ransomware in
De beruchte Noord-Koreaanse hackersgroep Lazarus valt nu ook Amerikaanse zorginstellingen aan met de beruchte 'Medusa'-gijzelsoftware. Ondanks internationale opsporingsbevelen en miljoenenbeloningen zet de groep haar lucratieve afpersingspraktijken onverminderd voort.
Nieuw onderzoek van cybersecurity-experts van Symantec en Carbon Black toont aan dat Noord-Koreaanse staatshackers gebruikmaken van Medusa, een zogenaamde 'Ransomware-as-a-Service' (RaaS). Hierbij huren aanvallers de software van de criminele organisatie Spearwing in ruil voor een percentage van het losgeld. Sinds november 2025 zijn er al diverse Amerikaanse non-profitorganisaties en zorginstellingen, waaronder een centrum voor autistische kinderen, slachtoffer geworden.
Financiering van spionage
De verschuiving naar ransomware is een bewuste strategie. In juli 2025 klaagde het Amerikaanse ministerie van Justitie de Noord-Koreaan Rim Jong Hyok aan, een vermeend lid van de Lazarus-ondergroep Stonefly. Uit de aanklacht bleek dat de opbrengsten van deze digitale gijzelingen direct worden gebruikt om wereldwijde spionage-operaties tegen defensie- en overheidssectoren te financieren.
Hoewel de VS een beloning van 10 miljoen dollar heeft uitgeloofd voor informatie over Rim, lijkt dit de hackers niet af te schrikken. De gemiddelde losgeldeis bedraagt momenteel zo'n 260.000 dollar per slachtoffer.
Geen morele grenzen
Wat opvalt in deze nieuwe golf aanvallen, is het totale gebrek aan scrupules. Waar sommige cybercriminele bendes de zorgsector mijden om negatieve publiciteit te voorkomen, lijkt Lazarus zich specifiek te richten op kwetsbare instellingen in de gezondheidszorg.
De hackers maken gebruik van een geavanceerd arsenaal aan tools, waaronder de op maat gemaakte backdoor Comebacker en de trojan Blindingcan, om netwerken binnen te dringen en gevoelige data te stelen voordat ze de systemen versleutelen.
