MortalKombat ランサムウェアは Xorist と関係があります
2022 年 12 月から、Cisco Talos の研究者は、最近発見された 2 つの悪意のあるソフトウェア (MortalKombat ランサムウェアと Laplas Clipper マルウェアの GO 亜種) を使用して、犠牲者から暗号通貨を盗む未知のエンティティを監視してきました。
攻撃者は、RDP クローラーを実行し、MortalKombat ランサムウェアを促進するダウンロード サーバーを使用して、ポート 3389 でリモート デスクトップ プロトコルが公開されている脆弱なマシンをインターネットでスキャンしていることが確認されました。 Talos は、コード、クラス名、およびレジストリ キー文字列の分析に基づいて、MortalKombat ランサムウェアが Xorist ファミリーの一部であると考えています。
攻撃者は、個人、小規模および大規模な企業を標的にしており、暗号通貨での身代金の支払いを要求しており、匿名性、分散化、規制の欠如などのいくつかの利点を提供しているため、追跡が困難になっています. Talos は、ユーザーと組織が暗号通貨トランザクションを実行する際には注意を払い、受信者のウォレット アドレスに注意を払うことを提案しています。
また、コンピュータを最新のセキュリティ パッチで更新すること、動作検出機能を備えた堅牢なエンドポイント保護ソリューションを展開すること、およびランサムウェア攻撃が発生した場合に合理的な復元時間でエンドポイントのテスト済みのオフライン バックアップ ソリューションを維持することも推奨しています。
MortalKombat 感染チェーン
この特定のキャンペーンでは、フィッシング メールが最初の感染ベクトルとして使用され、攻撃者がランサムウェアまたはマルウェアを展開する複雑な攻撃チェーンをトリガーし、検出と分析を回避するために悪意のある活動の痕跡をすべて削除します。
フィッシング メールには、BAT ローダー スクリプトを含む悪意のある ZIP ファイルが含まれています。被害者がスクリプトを実行すると、攻撃者が制御するサーバーから別の有害な ZIP ファイルをダウンロードし、自動的に解凍して、Laplas Clipper マルウェアの GO 亜種または MortalKombat ランサムウェアのいずれかであるペイロードを実行します。 BAT ローダー スクリプトは、ドロップされたペイロードを被害者のコンピューターで実行し、ダウンロードおよびドロップされた悪意のあるファイルの痕跡をすべて削除して、感染の証拠を残しません。
この攻撃の感染の主な方法は、攻撃者が正規の暗号通貨支払いゲートウェイである CoinPayments になりすますフィッシング メールによるものです。彼らは「CoinPayments dot net で noreply」というなりすましメール アドレスを使用し、メールの件名は「[CoinPayments dot net] Payment Timed Out」です。電子メールには、電子メールの内容で参照されているトランザクション ID に似たファイル名を持つ悪意のある ZIP ファイルが添付されているため、受信者はそれが本物であると信じてしまいます。添付ファイルには有害な BAT ローダーが含まれており、ユーザーがファイルを解凍してコンテンツを表示すると、このローダーがアクティブになります。
ランサムウェア攻撃からシステムを保護するにはどうすればよいですか?
ランサムウェア攻撃は壊滅的な被害をもたらす可能性があり、その結果、機密データが失われ、多額の経済的コストが発生します。システムをランサムウェア攻撃から保護するには、次の手順に従います。
- データのバックアップ: 外付けハード ドライブなどのオフライン デバイスにデータを定期的にバックアップし、バックアップをテストして正しく機能することを確認します。
- ソフトウェアを最新の状態に保つ: オペレーティング システムとソフトウェア アプリケーションのセキュリティ更新プログラムとパッチが利用可能になったらすぐにインストールします。
- ウイルス対策ソフトウェアを使用する: ウイルス対策ソフトウェアをインストールして定期的に更新し、システムに存在する可能性のあるマルウェアを検出して削除します。
- 電子メールの添付ファイルを開くときは注意してください: 不明な送信者または予期しない送信者からの電子メールの添付ファイルを開かないでください。
- 強力なパスワードを使用する: すべてのアカウントに固有の強力なパスワードを使用し、定期的に変更してください。
- 2 要素認証を有効にする: 2 要素認証を提供するすべてのアカウントで 2 要素認証を有効にして、セキュリティのレイヤーを追加します。
- 疑わしいリンクに注意する: 信頼できないソースからのリンク、特に電子メールやテキスト メッセージで送信されたリンクはクリックしないでください。