MortalKombat Ransomware ha legami con Xorist

A partire da dicembre 2022, i ricercatori di Cisco Talos hanno monitorato un'entità sconosciuta che ha utilizzato due software dannosi scoperti di recente - MortalKombat ransomware e una variante GO del malware Laplas Clipper - per rubare criptovaluta alle sue vittime.

Gli aggressori sono stati visti scansionare Internet alla ricerca di macchine vulnerabili con un protocollo desktop remoto esposto sulla porta 3389, utilizzando un server di download che esegue un crawler RDP e facilita anche il ransomware MortalKombat. Sulla base dell'analisi del codice, del nome della classe e delle stringhe della chiave di registro, Talos ritiene che MortalKombat ransomware faccia parte della famiglia Xorist.

Gli aggressori hanno preso di mira individui, piccole e grandi imprese e hanno chiesto pagamenti di riscatto in criptovaluta, il che offre loro numerosi vantaggi, come l'anonimato, il decentramento e la mancanza di regolamentazione, rendendo difficile rintracciarli. Talos suggerisce che gli utenti e le organizzazioni dovrebbero prestare attenzione durante l'esecuzione di transazioni di criptovaluta e prestare attenzione all'indirizzo del portafoglio del destinatario.

Raccomanda inoltre di aggiornare i computer con le ultime patch di sicurezza, implementare solide soluzioni di protezione degli endpoint con capacità di rilevamento comportamentale e mantenere soluzioni di backup offline testate per gli endpoint con un tempo di ripristino ragionevole in caso di attacco ransomware.

Catena di infezioni di MortalKombat

In questa particolare campagna, un'e-mail di phishing viene utilizzata come vettore di infezione iniziale, che innesca una complessa catena di attacco in cui l'attaccante distribuisce ransomware o malware, quindi rimuove tutte le tracce di attività dannose per evitare il rilevamento e l'analisi.

L'e-mail di phishing contiene un file ZIP dannoso che include uno script BAT loader. Quando la vittima esegue lo script, scarica un altro file ZIP dannoso da un server controllato dall'aggressore, lo decomprime automaticamente ed esegue il payload, che potrebbe essere la variante GO del malware Laplas Clipper o il ransomware MortalKombat. Lo script BAT loader esegue il payload rilasciato sul computer della vittima e quindi elimina tutte le tracce dei file dannosi scaricati e rilasciati, senza lasciare alcuna prova dell'infezione.

Il metodo principale di infezione per questo attacco è tramite un'e-mail di phishing, in cui gli autori fingono di essere CoinPayments, un legittimo gateway di pagamento di criptovaluta. Usano un indirizzo e-mail falsificato, "noreply at CoinPayments dot net" e l'oggetto dell'e-mail è "[CoinPayments dot net] Pagamento scaduto". L'e-mail include anche un file ZIP dannoso allegato con un nome file simile a un ID transazione a cui si fa riferimento nel contenuto dell'e-mail, inducendo il destinatario a credere che sia autentico. L'allegato contiene un caricatore BAT dannoso, che si attiva quando l'utente decomprime il file per visualizzarne il contenuto.

Come puoi proteggere il tuo sistema dagli attacchi ransomware?

Gli attacchi ransomware possono essere devastanti, con conseguente perdita di dati sensibili e un costo finanziario significativo. Per proteggere il tuo sistema dagli attacchi ransomware, puoi seguire questi passaggi:

  • Eseguire il backup dei dati: eseguire regolarmente il backup dei dati su un dispositivo offline, ad esempio un disco rigido esterno, e testare il backup per assicurarsi che funzioni correttamente.
  • Mantieni aggiornato il tuo software: installa gli aggiornamenti di sicurezza e le patch per il tuo sistema operativo e le applicazioni software non appena diventano disponibili.
  • Utilizza software antivirus: installa e aggiorna regolarmente il software antivirus per rilevare e rimuovere qualsiasi malware che potrebbe essere presente sul tuo sistema.
  • Fai attenzione quando apri allegati di posta elettronica: non aprire allegati di posta elettronica da mittenti sconosciuti o che non ti aspettavi.
  • Usa password complesse: utilizza password univoche e complesse per tutti gli account e modificale regolarmente.
  • Abilita l'autenticazione a due fattori: abilita l'autenticazione a due fattori su tutti gli account che la offrono per un ulteriore livello di sicurezza.
  • Prestare attenzione ai collegamenti sospetti: non fare clic sui collegamenti provenienti da fonti non attendibili, in particolare quelli inviati tramite e-mail o messaggi di testo.

Entro il Zaib
February 16, 2023
Ransomware
Italiano
February 16, 2023
Ransomware

Post popolari

Microsoft avverte che gli autori di minacce sostenute dallo...

5 days fa

Rilevamento malware Trojan Al11

11 months fa

Pop-up "Il tuo iCloud è stato violato" e "Il tuo iPhone è...

7 months fa

Pinaview è un'app adware completa

10 months fa

Cos'è Lucky Ransomware?

7 months fa

Truffa e-mail "American Express: aggiorna le informazioni del...

6 months fa
Italiano
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.