A MortalKombat Ransomware kapcsolatban áll a Xoristtal
2022 decemberétől a Cisco Talos kutatói egy ismeretlen entitást figyeltek meg, amely a közelmúltban felfedezett rosszindulatú szoftverek két darabját – a MortalKombat ransomware-t és a Laplas Clipper kártevő GO változatát – használta fel, hogy kriptovalutát lopjon el áldozataitól.
A támadók a 3389-es porton található távoli asztali protokollal fedetlen távoli asztali protokollt használva keresték az internetet a sebezhető gépek után, olyan letöltőkiszolgáló segítségével, amely egy RDP bejárót futtat, és elősegíti a MortalKombat zsarolóprogramot is. A kód, az osztálynév és a rendszerleíró kulcs karakterláncainak elemzése alapján Talos úgy véli, hogy a MortalKombat ransomware a Xorist család része.
A támadók magánszemélyeket, kis- és nagyvállalkozásokat céloztak meg, és váltságdíjat követeltek kriptovalutában, ami számos előnnyel jár, mint például az anonimitás, a decentralizáció és a szabályozás hiánya, ami megnehezíti nyomon követésüket. Talos azt javasolja, hogy a felhasználók és szervezetek legyenek körültekintőek a kriptovaluta-tranzakciók végrehajtása során, és figyeljenek a címzett pénztárca címére.
Azt is javasolja, hogy frissítsék a számítógépeket a legújabb biztonsági javításokkal, robusztus végpontvédelmi megoldásokat telepítsenek viselkedésészlelési képességekkel, és tartsanak tesztelt, offline biztonsági mentési megoldásokat a végpontokhoz ésszerű helyreállítási idővel zsarolóvírus-támadás esetén.
MortalKombat fertőzési lánc
Ebben a kampányban egy adathalász e-mailt használnak kezdeti fertőzési vektorként, amely egy összetett támadási láncot indít el, amelyben a támadó zsarolóprogramot vagy rosszindulatú programot telepít, majd eltávolítja a rosszindulatú tevékenység minden nyomát az észlelés és elemzés elkerülése érdekében.
Az adathalász e-mail rosszindulatú ZIP-fájlt tartalmaz, amely egy BAT-betöltő szkriptet tartalmaz. Amikor az áldozat lefuttatja a szkriptet, egy másik káros ZIP-fájlt tölt le a támadó által vezérelt szerverről, automatikusan kicsomagolja, és lefuttatja a rakományt, amely lehet a Laplas Clipper rosszindulatú program GO változata vagy a MortalKombat ransomware. A BAT betöltő szkript végrehajtja az elejtett hasznos terhet az áldozat számítógépén, majd eltünteti a letöltött és elejtett rosszindulatú fájlok minden nyomát, és nem hagy nyomot a fertőzésre.
A támadás elsődleges fertőzési módja egy adathalász e-mail, ahol az elkövetők úgy tesznek, mintha a CoinPayments, egy legitim kriptovaluta fizetési átjáró lennének. Hamisított e-mail címet használnak, „noreply at CoinPayments dot net”, és az e-mail tárgya „[CoinPayments dot net] Fizetési időkorlát”. Az e-mail tartalmaz egy rosszindulatú ZIP-fájl mellékletet is, amelynek fájlneve hasonló az e-mail tartalmában hivatkozott tranzakcióazonosítóhoz, és arra készteti a címzettet, hogy elhiggye, hogy az e-mail valódi. A melléklet tartalmaz egy káros BAT betöltőt, amely akkor aktiválódik, amikor a felhasználó kicsomagolja a fájlt, hogy megtekinthesse annak tartalmát.
Hogyan védheti meg rendszerét a Ransomware támadásoktól?
A zsarolóvírus-támadások pusztító hatásúak lehetnek, érzékeny adatok elvesztéséhez és jelentős pénzügyi költségekhez vezethetnek. Ha meg szeretné védeni rendszerét a ransomware támadásokkal szemben, kövesse az alábbi lépéseket:
- Biztonsági másolat készítése az adatokról: Rendszeresen készítsen biztonsági másolatot az adatokról egy offline eszközre, például egy külső merevlemezre, és tesztelje a biztonsági mentést, hogy megbizonyosodjon arról, hogy megfelelően működik.
- Tartsa naprakészen a szoftvert: Telepítse a biztonsági frissítéseket és javításokat operációs rendszeréhez és szoftveralkalmazásaihoz, amint elérhetővé válik.
- Használjon víruskereső szoftvert: Telepítse és rendszeresen frissítse a víruskereső szoftvert, hogy észlelje és eltávolítsa a rendszerén esetlegesen előforduló rosszindulatú programokat.
- Legyen óvatos az e-mail mellékletek megnyitásakor: Ne nyissa meg az ismeretlen feladóktól származó vagy nem várt e-mail mellékleteket.
- Használjon erős jelszavakat: Használjon egyedi, erős jelszavakat minden fiókhoz, és rendszeresen módosítsa azokat.
- Kéttényezős hitelesítés engedélyezése: A további biztonsági szint érdekében engedélyezze a kéttényezős hitelesítést minden olyan fiókban, amely ezt kínálja.
- Legyen óvatos a gyanús linkekkel: Ne kattintson a nem megbízható forrásból származó linkekre, különösen az e-mailekben vagy szöveges üzenetekben küldöttekre.