هجوم Medusa يكشف توسع لازاروس في الشرق الأوسط والصحة

هجوم Medusa يكشف تصاعد نشاط مجموعة لازاروس في الشرق الأوسط وقطاع الصحة الأمريكي، مع متوسط فدية يبلغ 260 ألف دولار. وفق تقارير أمنية حديثة.

ما الذي كشفه هجوم Medusa في الشرق الأوسط؟

رصد باحثو الأمن السيبراني استخدام مجموعة لازاروس المرتبطة بكوريا الشمالية لبرمجية Medusa في استهداف جهة غير معلنة في الشرق الأوسط. وتشير التقارير إلى أن المجموعة المعروفة أيضاً باسم Diamond Sleet وPompilus وسعت نطاق عملياتها خارج آسيا.

كما تم رصد محاولة غير ناجحة ضد منظمة رعاية صحية أمريكية، ما يوضح أن القطاع الصحي أصبح هدفاً ذا أولوية. وبحسب متابعة تيكبامين، يأتي ذلك ضمن موجة هجمات تمزج بين الابتزاز المالي والضغط على الخدمات الحساسة.

من هم الضحايا المستهدفون؟

• جهة غير مُعلنة في الشرق الأوسط ضمن ضحية واحدة مؤكدة.
• منظمة رعاية صحية في الولايات المتحدة تعرضت لمحاولة فاشلة.
• مؤسسات غير ربحية بينها صحة نفسية وتعليم للتوحد.

كيف تعمل Medusa كنموذج فدية كخدمة؟

تعمل Medusa كنموذج فدية كخدمة RaaS، حيث توفر منصة جاهزة للمهاجمين مقابل نسبة من العائدات. المجموعة المشغلة المعروفة باسم Spearwing أطلقت الخدمة في 2023 ووسعت شبكة الشركاء.

تحليل موقع التسريبات أظهر أربع هجمات ضد جهات صحية وغير ربحية منذ بداية نوفمبر 2025. كما بلغ متوسط مطالب الفدية في تلك الفترة نحو 260 ألف دولار، وهو رقم مرتفع لجهات خدماتية.

• بداية النشاط: 2023 عبر مجموعة Spearwing.
• عدد الهجمات المعلن: أكثر من 366.
• متوسط الفدية في نوفمبر 2025: 260 ألف دولار.

ما الذي يميز الهجمات الأخيرة؟

الضحايا شملوا مؤسسة للصحة النفسية ومرفقاً تعليمياً للأطفال المصابين بالتوحد. ولم يتضح ما إذا كانت كل الحالات من تنفيذ عناصر كورية شمالية أم من شركاء آخرين ضمن الشبكة.

لماذا تتحول مجموعات كوريا الشمالية إلى أدوات جاهزة؟

استخدام الفدية ليس جديداً على لازاروس، إذ ظهر فرع Andariel في 2021 وهو يضرب شركات في كوريا الجنوبية واليابان والولايات المتحدة ببرمجيات مخصصة. وتضمنت تلك الأدوات عائلات مثل SHATTEREDGLASS وMaui وH0lyGh0st.

في أكتوبر 2024 ارتبطت المجموعة بهجوم يستخدم Play، ما يشير إلى انتقال واضح نحو أدوات جاهزة بدلاً من تطوير برمجيات داخلية. وفي العام الماضي رصدت تقارير أمنية استخدام Moonstone Sleet لفدية Qilin ضد شركات مالية كورية جنوبية.

• SHATTEREDGLASS
• Maui
• H0lyGh0st
• Play
• Qilin

ما الدافع وراء التحول؟

المحللون يرجحون أن القرار براغماتي، فالأدوات المجربة مثل Medusa وQilin تقلل وقت التطوير وتسرع الربح. وقد ترى مجموعة لازاروس أن رسوم الشراكة أقل كلفة من بناء منصة كاملة.

ماذا يعني ذلك لأمن المؤسسات الصحية؟

القطاع الصحي يبقى من أكثر القطاعات حساسية لأن أي توقف في الخدمات يرفع الضغط على الإدارة ويزيد احتمالات الدفع. لذلك تركز الهجمات على نقاط الضعف التشغيلية والبريد الإلكتروني والنسخ الاحتياطية.

• تعزيز النسخ الاحتياطي المعزول والمُختبر دورياً.
• تحديث أدوات الحماية مع مراقبة السلوك.
• تدريب الموظفين على التصيد والهندسة الاجتماعية.
• بناء خطة استجابة للحوادث وتدريبات تعافٍ.

وفقاً لمتابعة تيكبامين، يبقى هجوم Medusa علامة على تصاعد اعتماد المهاجمين على شبكات RaaS في 2025. وتعني هذه المعطيات أن المؤسسات تحتاج إلى جاهزية أسرع واختبارات استجابة متكررة.