資安公司賽門鐵克(Symantec)與 Carbon Black 的威脅獵人團隊(Threat Hunter Team)最新報告指出,與北韓政府有關聯的 Lazarus 駭客集團,持續將美國醫療機構視為攻擊目標,並且轉向使用 Medusa 勒索病毒。儘管美國司法部在 2024 年已起訴據稱是 Lazarus 集團 Stonefly 子群組成員的 Rim Jong Hyok,此類勒索攻擊並未停止。
Ransomware.live 網站的數據顯示,自 2023 年 Medusa 勒索病毒即服務(Ransomware-as-a-Service)集團首次出現以來,已記錄到 518 名受害者,其中至少 43 名來自醫療產業。賽門鐵克和 Carbon Black 的報告指出,Medusa 由 Spearwing 網路犯罪集團運營。最新的 Medusa 醫療產業攻擊事件,疑似是北韓 Lazarus 駭客所為。Medusa 的合作駭客部署勒索病毒,以換取贖金的一部分。
賽門鐵克和 Carbon Black 威脅獵人團隊首席情報分析師 Dick O’Brien 表示,這些近期攻擊事件確實有可能是北韓駭客所為,因為與 2024 年起訴 Hyok 的案件中,鎖定醫療機構的行為模式一致。但他強調,只有在這些機構進行事後調查才能確認。報告指出,轉向使用 Medusa 顯示北韓持續參與網路犯罪,且毫不掩飾。Lazarus 集團似乎毫不顧忌攻擊美國境內的機構。即使部分網路犯罪集團聲稱會避免鎖定醫療機構,以免造成聲譽損害,Lazarus 似乎並不受任何約束。
Lazarus 的 Stonefly 子群組,又名 Andariel,多年來一直是北韓主要的網路間諜活動組織,專門針對高價值目標。該組織大約在五年前開始參與勒索病毒攻擊。2025 年 7 月,美國司法部以與針對美國醫院和其他醫療機構的勒索病毒攻擊活動相關的罪名起訴 Hyok,使得該組織參與數位勒索的行為受到大眾關注。據稱 Hyok 與北韓軍事情報機構偵察總局有關聯。
O’Brien 認為,有時候,公開指控的效果可能會阻止惡意活動,但 Lazarus 集團顯然未受影響,他們可能根本不在乎,或者賺取收入的迫切性高於被曝光所造成的負面影響。報告指出,雖然最新的 Medusa 勒索病毒攻擊「無疑」是 Lazarus 所為,但目前尚不清楚是哪個 Lazarus 子群組發動了這些攻擊。
Lazarus 在目前的勒索病毒攻擊活動中使用多種工具,包括 Comebacker,這是一種專門與該集團相關的客製化後門程式和載入器。威脅報告指出,Lazarus 使用的其他工具包括:Blindingcan(遠端存取木馬程式)、ChromeStealer(用於從 Chrome 瀏覽器中提取儲存密碼的工具)、Curl(一種使用各種網路協定傳輸資料的開源命令列工具)、Infohook(資訊竊取惡意軟體)、Mimikatz(一種公開可用的憑證轉儲工具)和 RP_Proxy(一種客製化代理工具)。
O’Brien 提醒,醫療機構面臨與其他產業同等的風險,因此採取縱深防禦策略至關重要,也就是採用多重偵測和保護技術。他建議,如果攻擊者未能觸發一個警報,也可能在下一個警報中被發現。同時,應審查組織使用的所有軟體,並儘速套用所有安全更新。強大的憑證安全措施也非常重要,需要定期變更強式密碼,並應常態性使用多因素驗證(MFA)。
本次事件也提醒台灣醫療機構,應加強網路安全防護,定期檢視與更新資安措施,避免成為駭客攻擊的目標。
