Quand acteur malveillant persistant se met au ransomware

Selon Broadcom, Lazarus, un acteur malveillant persistant (APT) lié à la Corée du Nord multiplie les tentatives d’extorsion contre le secteur américain de la santé. Et pas n’importe comment : en exploitant le ransomware Medusa.

Selon Broadcom, cela ne fait pas de doute : « les attaques actuelles du ransomware Medusa sont sans aucun doute l'œuvre de Lazarus, nom générique désignant les activités soutenues par l'État nord-coréen ». Et de pointer en particulier l’observation de deux porte-dérobées attribuées à Lazarus, Comebacker et Blindingcan.

Toutefois, relève l’éditeur, « on ignore encore quel sous-groupe de Lazarus en est responsable ». Car « si les TTP (techniques, tactiques et procédures) utilisées, à savoir des attaques par extorsion contre le secteur américain de la santé, sont similaires à celles des précédentes attaques [du sous-groupe] Stonefly, les outils malveillants utilisés ne sont pas exclusifs à Stonefly [aussi appelé Andariel]. Par exemple, la porte dérobée Comebacker a déjà été signalée comme étant associée au groupe Pompilus (alias Diamond Sleet) ».

L’enseigne Medusa est active depuis au moins début 2023 et compte, à ce jour, près de 520 victimes publiquement connues, dont 16 pour le secteur de la santé aux États-Unis, depuis début 2025. La plus importante concentration de victimes revendiquées par Medusa suivant ce profil remonte au premier trimestre 2025.

Toutefois, les échantillons de maliciels relevés par Broadcom et présents sur VirusTotal présentent des dates de création renvoyant à l’automne dernier.

Broadcom rappelle que, « pendant de nombreuses années, Stonefly était considéré comme un groupe exclusivement dédié aux attaques d'espionnage, en particulier contre des cibles de grande valeur. Cependant, il s'est lancé dans les attaques par ransomware il y a environ cinq ans ».

Qui plus est, « la Corée du Nord est depuis longtemps impliquée dans des attaques par ransomware et a déjà été associée aux familles de ransomware Maui et Play ».

En 2024, SentinelOne s’était penché sur un cluster d’activités malveillantes impliquant le recours à BestCrypt et BitLocker pour bloquer les organisations touchées. Des cas peu fréquents, mais bien réels. À l’automne 2020, LeMagIT avait recueilli le témoignage d’une victime française.

Là, les données télémétriques de SentinelOne faisaient ressortir des intrusions survenues « entre le début de l’année 2021 et le milieu de l’année 2023, affectant 37 organisations ». La majorité d’entre elles était « située en Amérique du Nord, principalement aux États-Unis, avec d’autres en Amérique du Sud et en Europe. Le secteur manufacturier avait alors été le plus touché, tandis que d’autres secteurs, dont l’éducation, la finance, les soins de santé et les services juridiques, ont été affectés ».

Les observations pointaient alors, de manière moins déterminée, vers le Chinois APT41 ou le Nord-Coréen Andariel. Début 2023, les autorités américaines avaient déjà alerté sur les attaques avec un chiffrement impliquant la Corée du Nord.