El ransomware MortalKombat tiene vínculos con Xorist

A partir de diciembre de 2022, los investigadores de Cisco Talos han estado monitoreando una entidad desconocida que ha estado utilizando dos piezas de software malicioso descubiertas recientemente, el ransomware MortalKombat y una variante GO del malware Laplas Clipper, para robar criptomonedas de sus víctimas.

Se vio a los atacantes escaneando Internet en busca de máquinas vulnerables con un protocolo de escritorio remoto expuesto en el puerto 3389, utilizando un servidor de descarga que ejecuta un rastreador RDP y también facilita el ransomware MortalKombat. Según el análisis del código, el nombre de la clase y las cadenas de clave de registro, Talos cree que el ransomware MortalKombat es parte de la familia Xorist.

Los atacantes han estado apuntando a individuos, pequeñas y grandes empresas, y exigiendo pagos de rescate en criptomonedas, lo que les brinda varios beneficios, como el anonimato, la descentralización y la falta de regulación, lo que dificulta su seguimiento. Talos sugiere que los usuarios y las organizaciones deben tener cuidado al realizar transacciones de criptomonedas y prestar atención a la dirección de la billetera del destinatario.

También recomienda actualizar las computadoras con los parches de seguridad más recientes, implementar soluciones robustas de protección de puntos finales con capacidades de detección de comportamiento y mantener soluciones de respaldo fuera de línea probadas para puntos finales con un tiempo de restauración razonable en caso de un ataque de ransomware.

Cadena de infección de MortalKombat

En esta campaña en particular, se utiliza un correo electrónico de phishing como vector de infección inicial, que desencadena una cadena de ataque compleja en la que el atacante implementa ransomware o malware y luego elimina todo rastro de actividad maliciosa para evitar la detección y el análisis.

El correo electrónico de phishing contiene un archivo ZIP malicioso que incluye un script de carga de BAT. Cuando la víctima ejecuta el script, descarga otro archivo ZIP dañino de un servidor controlado por el atacante, lo descomprime automáticamente y ejecuta la carga útil, que podría ser la variante GO del malware Laplas Clipper o el ransomware MortalKombat. El script del cargador BAT ejecuta la carga útil soltada en la computadora de la víctima y luego elimina todos los rastros de los archivos maliciosos descargados y soltados, sin dejar evidencia de la infección.

El principal método de infección de este ataque es a través de un correo electrónico de phishing, donde los perpetradores se hacen pasar por CoinPayments, una pasarela de pago de criptomonedas legítima. Utilizan una dirección de correo electrónico falsificada, "norresponder en CoinPayments dot net", y el asunto del correo electrónico es "[CoinPayments dot net] Pago agotado". El correo electrónico también incluye un archivo adjunto ZIP malicioso con un nombre de archivo similar a una ID de transacción a la que se hace referencia en el contenido del correo electrónico, lo que lleva al destinatario a creer que es genuino. El archivo adjunto contiene un cargador BAT dañino, que se activa cuando el usuario descomprime el archivo para ver su contenido.

¿Cómo puede proteger su sistema de ataques de ransomware?

Los ataques de ransomware pueden ser devastadores y provocar la pérdida de datos confidenciales y un costo financiero significativo. Para proteger su sistema de ataques de ransomware, puede seguir estos pasos:

  • Realice una copia de seguridad de sus datos: haga una copia de seguridad de sus datos con regularidad en un dispositivo fuera de línea, como un disco duro externo, y pruebe la copia de seguridad para asegurarse de que funciona correctamente.
  • Mantenga su software actualizado: instale actualizaciones de seguridad y parches para su sistema operativo y aplicaciones de software tan pronto como estén disponibles.
  • Use software antivirus: Instale y actualice periódicamente el software antivirus para detectar y eliminar cualquier malware que pueda estar presente en su sistema.
  • Tenga cuidado al abrir archivos adjuntos de correo electrónico: no abra archivos adjuntos de correo electrónico de remitentes desconocidos o que no esperaba.
  • Use contraseñas seguras: use contraseñas únicas y seguras para todas las cuentas y cámbielas regularmente.
  • Habilite la autenticación de dos factores: habilite la autenticación de dos factores en todas las cuentas que la ofrecen para obtener una capa adicional de seguridad.
  • Tenga cuidado con los enlaces sospechosos: no haga clic en enlaces de fuentes no confiables, especialmente aquellos enviados en correos electrónicos o mensajes de texto.

En Zaib
February 16, 2023
Ransomware
Spanish
February 16, 2023
Ransomware

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 5 days

Troyano Al11 Detección de malware

Hace 11 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.