MortalKombat Ransomware hat Verbindungen zu Xorist

Seit Dezember 2022 überwachen Forscher von Cisco Talos ein unbekanntes Unternehmen, das zwei kürzlich entdeckte Schadsoftware – MortalKombat-Ransomware und eine GO-Variante der Laplas Clipper-Malware – verwendet, um Kryptowährung von seinen Opfern zu stehlen.

Die Angreifer scannten das Internet nach anfälligen Computern mit einem exponierten Remote-Desktop-Protokoll auf Port 3389, wobei sie einen Download-Server verwendeten, der einen RDP-Crawler ausführt und auch die Ransomware MortalKombat erleichtert. Basierend auf der Analyse des Codes, des Klassennamens und der Registrierungsschlüsselzeichenfolgen glaubt Talos, dass die MortalKombat-Ransomware ein Teil der Xorist-Familie ist.

Die Angreifer haben Einzelpersonen, kleine und große Unternehmen ins Visier genommen und Lösegeldzahlungen in Kryptowährung gefordert, was ihnen mehrere Vorteile wie Anonymität, Dezentralisierung und fehlende Regulierung bietet, was es schwierig macht, sie zu verfolgen. Talos schlägt vor, dass Benutzer und Organisationen bei der Durchführung von Kryptowährungstransaktionen vorsichtig sein und auf die Wallet-Adresse des Empfängers achten sollten.

Es empfiehlt außerdem, Computer mit den neuesten Sicherheitspatches zu aktualisieren, robuste Endpoint-Schutzlösungen mit Verhaltenserkennungsfunktionen bereitzustellen und getestete Offline-Backup-Lösungen für Endpoints mit einer angemessenen Wiederherstellungszeit im Falle eines Ransomware-Angriffs beizubehalten.

MortalKombat-Infektionskette

In dieser speziellen Kampagne wird eine Phishing-E-Mail als erster Infektionsvektor verwendet, der eine komplexe Angriffskette auslöst, bei der der Angreifer entweder Ransomware oder Malware einsetzt und dann alle Spuren bösartiger Aktivitäten entfernt, um eine Erkennung und Analyse zu vermeiden.

Die Phishing-E-Mail enthält eine schädliche ZIP-Datei, die ein BAT-Loader-Skript enthält. Wenn das Opfer das Skript ausführt, lädt es eine weitere schädliche ZIP-Datei von einem vom Angreifer kontrollierten Server herunter, entpackt sie automatisch und führt die Payload aus, die entweder die GO-Variante der Laplas Clipper-Malware oder die MortalKombat-Ransomware sein kann. Das BAT-Loader-Skript führt die abgelegte Nutzlast auf dem Computer des Opfers aus und eliminiert dann alle Spuren der heruntergeladenen und abgelegten bösartigen Dateien, ohne Hinweise auf die Infektion zu hinterlassen.

Die primäre Infektionsmethode für diesen Angriff erfolgt über eine Phishing-E-Mail, bei der die Täter vorgeben, CoinPayments zu sein, ein legitimes Zahlungsgateway für Kryptowährungen. Sie verwenden eine gefälschte E-Mail-Adresse, „noreply at CoinPayments dot net“, und der Betreff der E-Mail lautet „[CoinPayments dot net] Payment Timed Out“. Die E-Mail enthält auch einen böswilligen ZIP-Dateianhang mit einem Dateinamen, der einer Transaktions-ID ähnelt, auf die im Inhalt der E-Mail verwiesen wird, was den Empfänger glauben lässt, dass es sich um eine echte handelt. Der Anhang enthält einen schädlichen BAT-Loader, der aktiviert wird, wenn der Benutzer die Datei entpackt, um ihren Inhalt anzuzeigen.

Wie können Sie Ihr System vor Ransomware-Angriffen schützen?

Ransomware-Angriffe können verheerend sein und zum Verlust sensibler Daten und erheblichen finanziellen Kosten führen. Um Ihr System vor Ransomware-Angriffen zu schützen, können Sie die folgenden Schritte ausführen:

  • Sichern Sie Ihre Daten: Sichern Sie Ihre Daten regelmäßig auf einem Offline-Gerät, z. B. einer externen Festplatte, und testen Sie die Sicherung, um sicherzustellen, dass sie ordnungsgemäß funktioniert.
  • Halten Sie Ihre Software auf dem neuesten Stand: Installieren Sie Sicherheitsupdates und Patches für Ihr Betriebssystem und Ihre Softwareanwendungen, sobald sie verfügbar sind.
  • Verwenden Sie Antivirensoftware: Installieren und aktualisieren Sie regelmäßig Antivirensoftware, um Malware zu erkennen und zu entfernen, die möglicherweise auf Ihrem System vorhanden ist.
  • Seien Sie vorsichtig beim Öffnen von E-Mail-Anhängen: Öffnen Sie keine E-Mail-Anhänge von unbekannten oder unerwarteten Absendern.
  • Verwenden Sie starke Passwörter: Verwenden Sie für alle Konten eindeutige, starke Passwörter und ändern Sie diese regelmäßig.
  • Zwei-Faktor-Authentifizierung aktivieren: Aktivieren Sie die Zwei-Faktor-Authentifizierung für alle Konten, die sie für eine zusätzliche Sicherheitsebene anbieten.
  • Seien Sie vorsichtig bei verdächtigen Links: Klicken Sie nicht auf Links aus nicht vertrauenswürdigen Quellen, insbesondere nicht auf solche, die in E-Mails oder Textnachrichten gesendet werden.

Bis Zaib
February 16, 2023
Ransomware
Deutsch
February 16, 2023
Ransomware

Beliebte Beiträge

Microsoft warnt staatlich unterstützte Bedrohungsakteure vor...

vor 5 days

Trojan Al11 Malware-Erkennung

vor 11 months

Pop-ups „Ihre iCloud wird gehackt“ und „Ihr iPhone wurde...

vor 7 months

Pinaview ist eine voll ausgestattete Adware-App

vor 10 months

Was ist Lucky Ransomware?

vor 7 months

E-Mail-Betrug „American Express – Aktualisieren Sie Ihre...

vor 6 months
Deutsch
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.