lazarus group orta doğu ve abd'de medusa ransomware ile saldırıyor
arkadaşlar, kuzey kore bağlantılı lazarus group (diamond sleet, pompilus da diyorlar bunlara) bu sefer medusa ransomware kullanarak orta doğu’da bir kuruma saldırmış. symantec ve carbon black threat hunter ekibi raporlamış durumu.
spoiler: abd’deki bir sağlık kuruluşuna da saldırmışlar ama başarısız olmuşlar. yani agalar artık sağlık sektörünü de hedef almaya başlamışlar.
ne olmuş peki
lazarus group denen tayfa, biliyorsunuz kuzey kore devlet destekli hacker grubu. normalde apt saldırıları, kripto borsalarını soymak falan derken bu sefer ransomware işine de girmişler. medusa ransomware kullanmışlar ki bu da fidye yazılımlarının yeni gözdesi.
orta doğu’daki bir kuruma başarılı saldırı yapmışlar. symantec’in raporuna göre aynı grup abd’deki bir sağlık kuruluşuna da saldırmış ama orada başarısız olmuşlar.
neden önemli bu
şöyle ki arkadaşlar:
- lazarus normalde apt (gelişmiş kalıcı tehdit) operasyonları yapar, ransomware pek tarzı değildi
- medusa ransomware kullanmaları yeni bir taktik değişimi
- sağlık sektörünü hedef almaları ciddi bir durum, kritik altyapı sonuçta
- broadcom’un threat intelligence ekibi tespit etmiş, yani artık bilinen bir taktik
edit: lazarus’un finansal motivasyonlu saldırılardan fidye yazılımına geçmesi, kuzey kore’nin gelir modelini çeşitlendirdiğini gösteriyor.
etkilenen sektörler
| Sektör | Durum | Bölge |
|---|---|---|
| Bilinmeyen Kurum | ✅ Başarılı Saldırı | Orta Doğu |
| Sağlık | ❌ Başarısız Saldırı | ABD |
| Diğer Potansiyel Hedefler | ⚠️ Risk Altında | Global |
yapmanız gerekenler
agalar, lazarus ciddi bir grup ve artık ransomware da kullanıyorlar. şunları yapın:
1. temel güvenlik önlemleri
# yedeklerinizi kontrol edin ve offline yedek alın
# ransomware gelirse en azından geri dönebilirsiniz
# endpoint detection sistemlerinizi güncelleyin
# medusa ransomware imzalarını ekleyin
# log monitoring'i aktif edin
# özellikle lateral movement hareketlerine dikkat
2. ağ güvenliği
- kuzey kore ip bloklarını engelleyin
- segmentasyon yapın, kritik sistemleri izole edin
- east-west traffic’i monitör edin
- suspicious powershell ve cmd aktivitelerini izleyin
3. kullanıcı eğitimi
- phishing saldırılarına karşı ekibi uyarın
- lazarus genelde spear phishing ile başlıyor
- şüpheli mail ekleri açmayın, link tıklamayın
4. incident response planı
# IR planınızı gözden geçirin
# ransomware senaryosu ekleyin
# iletişim ağacını güncelleyin
# kritik sistemlerin snapshot'larını alın
# hızlı recovery için hazır olun
ioc’ler ve detection
symantec raporu detaylı ioc (indicator of compromise) içeriyor. şunlara dikkat edin:
- medusa ransomware imzaları
- lazarus group’un bilinen ttp’leri (tactics, techniques, procedures)
- diamond sleet ve pompilus aktivite paternleri
- kuzey kore bağlantılı c2 sunucuları
dikkat: lazarus çok gelişmiş bir grup, klasik antivirüs yetmez. edr (endpoint detection and response) şart.
geçici çözümler
hemen yama yapamıyorsanız:
- ağ segmentasyonu: kritik sistemleri izole edin
- application whitelisting: sadece onaylı uygulamalar çalışsın
- privileged access management: admin haklarını kısıtlayın
- offline backup: düzenli offline yedek alın, ransomware bunlara ulaşamasın
- email filtering: phishing saldırılarını filtreleyin
sağlık sektörüne özel uyarı
arkadaşlar özellikle sağlık sektöründe çalışıyorsanız:
- hasta verileri çok değerli, hem fidye hem de satış için
- kritik sistemler 7/24 çalışıyor, kesinti maliyeti yüksek
- lazarus bu sefer başarısız olmuş ama tekrar deneyecektir
- hipaa compliance’a dikkat, veri sızıntısı olursa ceza ağır
# sağlık sistemleri için ekstra önlemler:
# 1. medikal cihazları network'ten izole edin
# 2. ehr (electronic health records) sistemlerini özel koruyun
# 3. disaster recovery planını test edin
# 4. vendor access'leri gözden geçirin
timeline ve trend analizi
lazarus’un evrim süreci:
- 2014-2017: sony pictures hack, wannacry (dolaylı)
- 2018-2021: kripto borsaları, defi protokolleri
- 2022-2024: supply chain attacks, nft platformları
- 2025-2026: ransomware operasyonları (yeni)
yani agalar, grup sürekli yeni taktikler deniyor. bugün ransomware, yarın ne olacak bilinmez.
kaynaklar
- Symantec Threat Hunter Team Report
- MITRE ATT&CK - Lazarus Group
- CISA - North Korean Threat Actors
- The Hacker News - Orijinal Haber
sonuç
arkadaşlar lazarus artık ransomware işine de girmiş. medusa kullanıyorlar ve ciddi bir tehdit. özellikle orta doğu ve sağlık sektörü hedefte.
yapmanız gerekenler:
- yedeklerinizi alın (offline)
- edr sistemlerinizi güncelleyin
- kullanıcıları eğitin
- incident response planını hazırlayın
edit: kuzey kore destekli gruplar genelde pes etmez, başarısız olsalar bile tekrar denerler. sürekli tetikte olun.
bkz: medusa ransomware, lazarus group, diamond sleet, apt38
Bu içerik yapay zeka tarafından oluşturulmuştur.