MortalKombat Ransomware har bånd til Xorist

Fra december 2022 har forskere med Cisco Talos overvåget en ukendt enhed, der har brugt to stykker nyligt opdaget ondsindet software - MortalKombat ransomware og en GO-variant af Laplas Clipper malware - til at stjæle kryptovaluta fra sine ofre.

Angriberne blev set scanne internettet for sårbare maskiner med en synlig fjernskrivebordsprotokol på port 3389 ved hjælp af en downloadserver, der kører en RDP-crawler og også letter MortalKombat-ransomwaren. Baseret på analysen af kode, klassenavn og registreringsnøglestrenge, mener Talos, at MortalKombat ransomware er en del af Xorist-familien.

Angriberne har været rettet mod enkeltpersoner, små og store virksomheder og krævet løsepengebetalinger i kryptovaluta, hvilket giver dem adskillige fordele, såsom anonymitet, decentralisering og manglende regulering, hvilket gør det vanskeligt at spore dem. Talos foreslår, at brugere og organisationer skal være forsigtige, mens de udfører kryptovalutatransaktioner og være opmærksomme på modtagerens tegnebogsadresse.

Det anbefaler også, at du opdaterer computere med de nyeste sikkerhedsrettelser, implementerer robuste endpoint-beskyttelsesløsninger med adfærdsdetekteringsfunktioner og holder testede offline backup-løsninger til slutpunkter med en rimelig gendannelsestid i tilfælde af et ransomware-angreb.

MortalKombat infektionskæde

I denne særlige kampagne bruges en phishing-e-mail som den indledende infektionsvektor, som udløser en kompleks angrebskæde, hvor angriberen implementerer enten ransomware eller malware, og derefter fjerner alle spor af ondsindet aktivitet for at undgå opdagelse og analyse.

Phishing-e-mailen indeholder en ondsindet ZIP-fil, der indeholder et BAT loader-script. Når offeret kører scriptet, downloader det en anden skadelig ZIP-fil fra en server styret af angriberen, udpakker den automatisk og kører nyttelasten, som enten kan være GO-varianten af Laplas Clipper malware eller MortalKombat ransomware. BAT loader-scriptet udfører den tabte nyttelast på offerets computer og eliminerer derefter alle spor af de downloadede og droppede ondsindede filer, uden at efterlade noget bevis på infektionen.

Den primære metode til infektion for dette angreb er gennem en phishing-e-mail, hvor gerningsmændene udgiver sig for at være CoinPayments, en legitim betalingsgateway for kryptovaluta. De bruger en forfalsket e-mail-adresse, "noreply at CoinPayments dot net," og emnet for e-mailen er "[CoinPayments dot net] Payment Timeout." E-mailen indeholder også en ondsindet ZIP-fil vedhæftet fil med et filnavn, der ligner et transaktions-id, der refereres til i e-mailens indhold, hvilket får modtageren til at tro, at den er ægte. Den vedhæftede fil indeholder en skadelig BAT-indlæser, som aktiveres, når brugeren udpakker filen for at se dens indhold.

Hvordan kan du beskytte dit system mod Ransomware-angreb?

Ransomware-angreb kan være ødelæggende, hvilket resulterer i tab af følsomme data og en betydelig økonomisk omkostning. For at beskytte dit system mod ransomware-angreb kan du følge disse trin:

• Sikkerhedskopier dine data: Sikkerhedskopier regelmæssigt dine data til en offline-enhed, såsom en ekstern harddisk, og test sikkerhedskopien for at sikre, at den fungerer korrekt.
• Hold din software opdateret: Installer sikkerhedsopdateringer og patches til dit operativsystem og softwareapplikationer, så snart de bliver tilgængelige.
• Brug antivirussoftware: Installer og opdater regelmæssigt antivirussoftware for at opdage og fjerne enhver malware, der kan være til stede på dit system.
• Vær forsigtig, når du åbner e-mail-vedhæftede filer: Åbn ikke e-mail-vedhæftede filer fra ukendte afsendere eller dem, du ikke havde forventet.
• Brug stærke adgangskoder: Brug unikke, stærke adgangskoder til alle konti, og skift dem regelmæssigt.
• Aktiver to-faktor-godkendelse: Aktiver to-faktor-godkendelse på alle konti, der tilbyder det for et ekstra lag af sikkerhed.
• Vær forsigtig med mistænkelige links: Klik ikke på links fra upålidelige kilder, især dem, der sendes i e-mails eller tekstbeskeder.