MortalKombat Ransomware a des liens avec Xorist

Depuis décembre 2022, les chercheurs de Cisco Talos surveillent une entité inconnue qui utilise deux logiciels malveillants récemment découverts - le ransomware MortalKombat et une variante GO du malware Laplas Clipper - pour voler la crypto-monnaie de ses victimes.

Les attaquants ont été vus en train de scanner Internet à la recherche de machines vulnérables avec un protocole de bureau à distance exposé sur le port 3389, en utilisant un serveur de téléchargement qui exécute un robot d'exploration RDP et facilite également le rançongiciel MortalKombat. Sur la base de l'analyse du code, du nom de la classe et des chaînes de clé de registre, Talos pense que le rançongiciel MortalKombat fait partie de la famille Xorist.

Les attaquants ciblent des particuliers, des petites et des grandes entreprises et exigent des paiements de rançon en crypto-monnaie, ce qui leur offre plusieurs avantages, tels que l'anonymat, la décentralisation et l'absence de réglementation, ce qui rend leur suivi difficile. Talos suggère aux utilisateurs et aux organisations d'être prudents lorsqu'ils effectuent des transactions de crypto-monnaie et de prêter attention à l'adresse du portefeuille du destinataire.

Il recommande également de mettre à jour les ordinateurs avec les derniers correctifs de sécurité, de déployer des solutions de protection des terminaux robustes avec des capacités de détection comportementale et de conserver des solutions de sauvegarde hors ligne testées pour les terminaux avec un temps de restauration raisonnable en cas d'attaque par ransomware.

Chaîne d'infection MortalKombat

Dans cette campagne particulière, un e-mail de phishing est utilisé comme vecteur d'infection initial, ce qui déclenche une chaîne d'attaque complexe dans laquelle l'attaquant déploie soit un ransomware, soit un malware, puis supprime toute trace d'activité malveillante pour éviter la détection et l'analyse.

L'e-mail de phishing contient un fichier ZIP malveillant qui inclut un script de chargeur BAT. Lorsque la victime exécute le script, elle télécharge un autre fichier ZIP nuisible à partir d'un serveur contrôlé par l'attaquant, le décompresse automatiquement et exécute la charge utile, qui peut être soit la variante GO du logiciel malveillant Laplas Clipper, soit le logiciel de rançon MortalKombat. Le script du chargeur BAT exécute la charge utile supprimée sur l'ordinateur de la victime, puis élimine toutes les traces des fichiers malveillants téléchargés et supprimés, ne laissant aucune preuve de l'infection.

La principale méthode d'infection pour cette attaque consiste à utiliser un e-mail de phishing, où les auteurs prétendent être CoinPayments, une passerelle de paiement légitime en crypto-monnaie. Ils utilisent une adresse e-mail usurpée, "noreply at CoinPayments dot net", et l'objet de l'e-mail est "[CoinPayments dot net] Payment Timed Out". L'e-mail comprend également une pièce jointe de fichier ZIP malveillante avec un nom de fichier similaire à un ID de transaction référencé dans le contenu de l'e-mail, ce qui laisse croire au destinataire qu'il est authentique. La pièce jointe contient un chargeur BAT nocif, qui est activé lorsque l'utilisateur décompresse le fichier pour afficher son contenu.

Comment pouvez-vous protéger votre système contre les attaques de ransomware ?

Les attaques de ransomwares peuvent être dévastatrices, entraînant la perte de données sensibles et un coût financier important. Pour protéger votre système contre les attaques de ransomwares, vous pouvez suivre ces étapes :

  • Sauvegardez vos données : sauvegardez régulièrement vos données sur un appareil hors ligne, tel qu'un disque dur externe, et testez la sauvegarde pour vous assurer qu'elle fonctionne correctement.
  • Maintenez vos logiciels à jour : Installez les mises à jour de sécurité et les correctifs pour votre système d'exploitation et vos applications logicielles dès qu'ils sont disponibles.
  • Utilisez un logiciel antivirus : installez et mettez régulièrement à jour un logiciel antivirus pour détecter et supprimer tout logiciel malveillant susceptible d'être présent sur votre système.
  • Soyez prudent lors de l'ouverture des pièces jointes aux e-mails : n'ouvrez pas les pièces jointes aux e-mails d'expéditeurs inconnus ou celles que vous n'attendiez pas.
  • Utilisez des mots de passe forts : Utilisez des mots de passe uniques et forts pour tous les comptes et changez-les régulièrement.
  • Activer l'authentification à deux facteurs : activez l'authentification à deux facteurs sur tous les comptes qui la proposent pour une couche de sécurité supplémentaire.
  • Méfiez-vous des liens suspects : ne cliquez pas sur des liens provenant de sources non fiables, en particulier ceux envoyés dans des e-mails ou des SMS.

Par Zaib
February 16, 2023
Ransomware
Français
February 16, 2023
Ransomware

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 5 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.