Nos últimos meses, a ameaça cibernética proveniente do Estado norte-coreano deu uma reviravolta especialmente preocupada: um subgrupo ligado ao conhecido coletivo Lazarus começou a empregar o ransomware Medusa contra organizações sanitárias nos Estados Unidos, em operações cujo objetivo principal é a extorsão econômica. Esta notícia não só confirma a continuidade das campanhas criminosas com selo norte-coreano, mas também mostra como estes atores misturam técnicas sofisticadas com ferramentas públicas e serviços de “ransomware como serviço” para maximizar o seu impacto.
Medusa não é uma família nova: apareceu como operação RaaS no início de 2021 e, com o passar do tempo, comprometeu centenas de organizações em setores críticos. O relevante agora é que pesquisadores de segurança identificaram sobreposições técnicas e táticas que apontam para a participação de um grupo dentro do guarda-chuva de Lazarus, com possíveis conexões a subgrupos conhecidos na comunidade como Andariel ou Stonefly, em ataques direcionados a fornecedores de saúde em EE. EUA. Se você quer ler o relatório técnico dos analistas que documentam essas coincidências, você pode revisar a entrada publicada pela Symantec em seu blog de empresa: Symantec Enterprise Blogs.
Os pesquisadores observam que, juntamente com a utilização de Medusa, os atacantes recorrem a uma mistura de utilitários e backdoors: desde ladrões de credenciais para navegadores e ferramentas de transferência de credenciais, até malware de acesso remoto e proxys à medida. Embora muitas dessas peças sejam “commodity” – isto é, disponíveis ou reutilizadas por muitos grupos – a combinação e a sequência de uso ajudam os analistas a traçar relações entre incidentes e atribuir a atividade com maior confiança.
O impacto financeiro também desenha um padrão. As operações de Medusa registaram resgates médios em torno dos 260.000 dólares, um valor significativo se for considerado a escala e a frequência das intrusões. Pesquisas e ações governamentais anteriores documentaram como os ganhos decorrentes de operações cibernéticas ilícitas foram utilizados para financiar atividades estatais norte-coreanas, o que torna essas campanhas em algo mais do que simples crimes econômicos: são fontes de financiamento com possíveis implicações geopolíticas.
Mas além do dinheiro, o que preocupa a comunidade de segurança e administradores de hospitais é a escolha deliberada do branco. Os cuidados de saúde são um sector crítico em que a interrupção pode pôr em risco vidas; no entanto, os analistas sublinham que estes grupos não mostram escrúpulos no combate a hospitais ou a outros serviços sensíveis, mesmo que esse tipo de objectivos geralmente conduz a uma rejeição pública intensa. Nas palavras dos pesquisadores, a transição para peças de extorsão como a Medusa evidencia que o envolvimento de atores norte-coreanos no cibercrime continua a ser intenso e com escassas barreiras éticas.
Se você procura uma cobertura jornalística acessível sobre esta descoberta, meios especializados publicaram resumos que ligam o trabalho técnico original e trazem contexto sobre as vítimas e a evolução da Medusa: por exemplo, você pode consultar a nota publicada em BleepingComputer: BleepingComputer sobre Lazarus e Medusa.
A nível prático, os relatórios dos equipamentos de resposta insistem que as organizações revejam indicadores de compromisso (IoC) e procedimentos de detecção publicados por fornecedores e corpos governamentais, porque uma detecção precoce pode evitar a fase de cifra e a consequente perda de dados. Agências como a CISA oferecem guias gerais e recursos sobre como preparar-se contra ransomware e responder a incidentes; são boas referências para equipes de operações e responsáveis pela segurança: CISA – Ransomware. Além disso, o FBI mantém material e recomendações sobre a ameaça do ransomware em seu site: FBI – Ransomware.
Esta nova fase de ativismo criminal estatalizado deixa várias lições claras para o setor de saúde e para qualquer organização crítica. A primeira é que a exposição não depende apenas de ser “uma empresa tecnológica”: as instituições de saúde convivem com redes de fornecedores, dispositivos médicos ligados e pessoal que gere informação sensível, o que amplia a superfície de ataque. A segunda lição é que a mistura de ferramentas comerciais e código disponível publicamente com desenvolvimentos personalizados dificulta a atribuição, mas não a torna impossível; a correlação cuidadosa de telemetria é o que permite aos equipamentos de inteligência ligar campanhas a atores específicos.
Em definitivo, estamos diante de um cenário em que atores apoiados por Estados empregam o modelo de negócio do cibercrime (ransomware em modalidade RaaS) para obter recursos, diferenciar seu arsenal e manter pressão sobre setores que antes poderiam ser considerados “intocáveis” por motivos reputacionais. A recomendação para qualquer responsável pela segurança é não subestimar a ameaça: atualizar inventários, reforçar controles de acesso, validar cópias de segurança e trabalhar com equipamentos de inteligência para incorporar IoC e regras de detecção nas defesas. Os relatórios técnicos, como os publicados por equipas de detecção e resposta, e os avisos de agências nacionais, devem ser utilizados como um roteiro operacional para reduzir a janela de exposição e os potenciais danos.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...