Το MortalKombat Ransomware έχει δεσμούς με το Xorist

Από τον Δεκέμβριο του 2022, ερευνητές με τη Cisco Talos παρακολουθούσαν μια άγνωστη οντότητα που χρησιμοποιούσε δύο κομμάτια κακόβουλου λογισμικού που ανακαλύφθηκε πρόσφατα - ransomware MortalKombat και μια παραλλαγή GO του κακόβουλου λογισμικού Laplas Clipper - για να κλέψει κρυπτονομίσματα από τα θύματά του.

Οι εισβολείς εθεάθησαν να σαρώνουν το Διαδίκτυο για ευάλωτα μηχανήματα με εκτεθειμένο πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας στη θύρα 3389, χρησιμοποιώντας έναν διακομιστή λήψης που εκτελεί έναν ανιχνευτή RDP και επίσης διευκολύνει το ransomware MortalKombat. Με βάση την ανάλυση του κώδικα, του ονόματος κλάσης και των συμβολοσειρών κλειδιών μητρώου, ο Talos πιστεύει ότι το ransomware MortalKombat είναι μέρος της οικογένειας Xorist.

Οι επιτιθέμενοι στοχεύουν άτομα, μικρές και μεγάλες επιχειρήσεις και απαιτούν πληρωμές λύτρων σε κρυπτονομίσματα, κάτι που τους παρέχει πολλά οφέλη, όπως η ανωνυμία, η αποκέντρωση και η έλλειψη ρύθμισης, καθιστώντας δύσκολη την παρακολούθηση τους. Ο Talos προτείνει ότι οι χρήστες και οι οργανισμοί θα πρέπει να είναι προσεκτικοί κατά την εκτέλεση συναλλαγών κρυπτονομισμάτων και να δίνουν προσοχή στη διεύθυνση πορτοφολιού του παραλήπτη.

Συνιστά επίσης την ενημέρωση των υπολογιστών με τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας, την ανάπτυξη ισχυρών λύσεων προστασίας τελικού σημείου με δυνατότητες ανίχνευσης συμπεριφοράς και τη διατήρηση δοκιμασμένων λύσεων αντιγράφων ασφαλείας εκτός σύνδεσης για τελικά σημεία με εύλογο χρόνο αποκατάστασης σε περίπτωση επίθεσης ransomware.

MortalKombat Infection Chain

Στη συγκεκριμένη καμπάνια, ένα ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος χρησιμοποιείται ως ο αρχικός φορέας μόλυνσης, ο οποίος ενεργοποιεί μια σύνθετη αλυσίδα επίθεσης όπου ο εισβολέας αναπτύσσει είτε ransomware είτε κακόβουλο λογισμικό και, στη συνέχεια, αφαιρεί όλα τα ίχνη κακόβουλης δραστηριότητας για να αποφύγει τον εντοπισμό και την ανάλυση.

Το email ηλεκτρονικού ψαρέματος περιέχει ένα κακόβουλο αρχείο ZIP που περιλαμβάνει ένα σενάριο φόρτωσης BAT. Όταν το θύμα εκτελεί το σενάριο, κατεβάζει ένα άλλο επιβλαβές αρχείο ZIP από έναν διακομιστή που ελέγχεται από τον εισβολέα, το αποσυμπιέζει αυτόματα και εκτελεί το ωφέλιμο φορτίο, το οποίο θα μπορούσε να είναι είτε η παραλλαγή GO του κακόβουλου λογισμικού Laplas Clipper είτε το MortalKombat ransomware. Το σενάριο φόρτωσης BAT εκτελεί το απορριφθέν ωφέλιμο φορτίο στον υπολογιστή του θύματος και στη συνέχεια εξαλείφει όλα τα ίχνη των κακόβουλων αρχείων που έχουν ληφθεί και απορριφθεί, χωρίς να αφήνει στοιχεία μόλυνσης.

Η κύρια μέθοδος μόλυνσης για αυτήν την επίθεση είναι μέσω ενός ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος, όπου οι δράστες προσποιούνται ότι είναι το CoinPayments, μια νόμιμη πύλη πληρωμής κρυπτονομισμάτων. Χρησιμοποιούν μια πλαστογραφημένη διεύθυνση email, "noreply at CoinPayments dot net" και το θέμα του μηνύματος είναι "[CoinPayments dot net] Λήξη χρόνου πληρωμής". Το μήνυμα ηλεκτρονικού ταχυδρομείου περιλαμβάνει επίσης ένα κακόβουλο συνημμένο αρχείο ZIP με όνομα αρχείου παρόμοιο με ένα αναγνωριστικό συναλλαγής που αναφέρεται στο περιεχόμενο του μηνύματος ηλεκτρονικού ταχυδρομείου, κάτι που κάνει τον παραλήπτη να πιστεύει ότι είναι αυθεντικό. Το συνημμένο περιέχει έναν επιβλαβή φορτωτή BAT, ο οποίος ενεργοποιείται όταν ο χρήστης αποσυμπιέζει το αρχείο για να δει τα περιεχόμενά του.

Πώς μπορείτε να προστατέψετε το σύστημά σας από επιθέσεις Ransomware;

Οι επιθέσεις ransomware μπορεί να είναι καταστροφικές, με αποτέλεσμα την απώλεια ευαίσθητων δεδομένων και σημαντικό οικονομικό κόστος. Για να προστατεύσετε το σύστημά σας από επιθέσεις ransomware, μπορείτε να ακολουθήσετε αυτά τα βήματα:

• Δημιουργήστε αντίγραφα ασφαλείας των δεδομένων σας: Δημιουργήστε τακτικά αντίγραφα ασφαλείας των δεδομένων σας σε μια συσκευή εκτός σύνδεσης, όπως έναν εξωτερικό σκληρό δίσκο, και δοκιμάστε το αντίγραφο ασφαλείας για να βεβαιωθείτε ότι λειτουργεί σωστά.
• Διατηρήστε το λογισμικό σας ενημερωμένο: Εγκαταστήστε ενημερώσεις ασφαλείας και ενημερώσεις κώδικα για το λειτουργικό σας σύστημα και τις εφαρμογές λογισμικού μόλις γίνουν διαθέσιμες.
• Χρήση λογισμικού προστασίας από ιούς: Εγκαταστήστε και ενημερώνετε τακτικά το λογισμικό προστασίας από ιούς για να εντοπίσετε και να αφαιρέσετε τυχόν κακόβουλο λογισμικό που μπορεί να υπάρχει στο σύστημά σας.
• Να είστε προσεκτικοί όταν ανοίγετε συνημμένα email: Μην ανοίγετε συνημμένα email από άγνωστους αποστολείς ή από αυτούς που δεν περιμένατε.
• Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης: Χρησιμοποιήστε μοναδικούς, ισχυρούς κωδικούς πρόσβασης για όλους τους λογαριασμούς και αλλάξτε τους τακτικά.
• Ενεργοποίηση ελέγχου ταυτότητας δύο παραγόντων: Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων σε όλους τους λογαριασμούς που τον προσφέρουν για ένα επιπλέον επίπεδο ασφάλειας.
• Να είστε προσεκτικοί με ύποπτους συνδέσμους: Μην κάνετε κλικ σε συνδέσμους από μη αξιόπιστες πηγές, ειδικά σε αυτούς που αποστέλλονται σε email ή μηνύματα κειμένου.