MortalKombat Ransomware har bånd til Xorist

Fra desember 2022 har forskere med Cisco Talos overvåket en ukjent enhet som har brukt to deler av nylig oppdaget ondsinnet programvare - MortalKombat løsepengeprogramvare og en GO-variant av Laplas Clipper malware - for å stjele kryptovaluta fra ofrene.

Angriperne ble sett skanne internett etter sårbare maskiner med en eksponert eksternt skrivebordsprotokoll på port 3389, ved å bruke en nedlastingsserver som kjører en RDP-søkerobot og som også forenkler MortalKombat-ransomware. Basert på analysen av koden, klassenavnet og registernøkkelstrengene, mener Talos at MortalKombat løsepengeprogramvare er en del av Xorist-familien.

Angriperne har rettet seg mot enkeltpersoner, små og store bedrifter og krevd løsepenger i kryptovaluta, noe som gir dem flere fordeler, som anonymitet, desentralisering og mangel på regulering, noe som gjør det vanskelig å spore dem. Talos foreslår at brukere og organisasjoner bør være forsiktige mens de utfører kryptovalutatransaksjoner og ta hensyn til mottakerens lommebokadresse.

Den anbefaler også å oppdatere datamaskiner med de nyeste sikkerhetsoppdateringene, distribuere robuste endepunktbeskyttelsesløsninger med atferdsdeteksjonsfunksjoner, og holde testede offline sikkerhetskopieringsløsninger for endepunkter med en rimelig gjenopprettingstid i tilfelle løsepengevareangrep.

MortalKombat infeksjonskjede

I denne spesielle kampanjen brukes en phishing-e-post som den første infeksjonsvektoren, som utløser en kompleks angrepskjede der angriperen distribuerer enten løsepengeprogramvare eller skadelig programvare, og deretter fjerner alle spor av ondsinnet aktivitet for å unngå oppdagelse og analyse.

Phishing-e-posten inneholder en ondsinnet ZIP-fil som inkluderer et BAT-lasterskript. Når offeret kjører skriptet, laster det ned en annen skadelig ZIP-fil fra en server kontrollert av angriperen, pakker den ut automatisk og kjører nyttelasten, som kan være enten GO-varianten av Laplas Clipper malware eller MortalKombat løsepengeprogramvare. BAT-lasterskriptet kjører den tapte nyttelasten på offerets datamaskin og eliminerer deretter alle spor av de nedlastede og droppede ondsinnede filene, og etterlater ingen bevis for infeksjonen.

Den primære metoden for infeksjon for dette angrepet er gjennom en phishing-e-post, der gjerningsmennene utgir seg for å være CoinPayments, en legitim betalingsgateway for kryptovaluta. De bruker en forfalsket e-postadresse, "noreply at CoinPayments dot net," og emnet for e-posten er "[CoinPayments dot net] Payment Timeout." E-posten inneholder også et ondsinnet ZIP-filvedlegg med et filnavn som ligner på en transaksjons-ID som er referert til i e-postens innhold, noe som får mottakeren til å tro at den er ekte. Vedlegget inneholder en skadelig BAT-laster, som aktiveres når brukeren pakker ut filen for å se innholdet.

Hvordan kan du beskytte systemet ditt mot ransomware-angrep?

Ransomware-angrep kan være ødeleggende, noe som resulterer i tap av sensitive data og en betydelig økonomisk kostnad. For å beskytte systemet ditt mot ransomware-angrep, kan du følge disse trinnene:

  • Sikkerhetskopier dataene dine: Sikkerhetskopier dataene dine regelmessig til en frakoblet enhet, for eksempel en ekstern harddisk, og test sikkerhetskopien for å sikre at den fungerer som den skal.
  • Hold programvaren oppdatert: Installer sikkerhetsoppdateringer og oppdateringer for operativsystemet og programvareapplikasjonene så snart de blir tilgjengelige.
  • Bruk antivirusprogramvare: Installer og oppdater regelmessig antivirusprogramvare for å oppdage og fjerne skadelig programvare som kan finnes på systemet ditt.
  • Vær forsiktig når du åpner e-postvedlegg: Ikke åpne e-postvedlegg fra ukjente avsendere eller de du ikke hadde forventet.
  • Bruk sterke passord: Bruk unike, sterke passord for alle kontoer og endre dem regelmessig.
  • Aktiver tofaktorautentisering: Aktiver tofaktorautentisering på alle kontoer som tilbyr det for et ekstra lag med sikkerhet.
  • Vær forsiktig med mistenkelige koblinger: Ikke klikk på lenker fra upålitelige kilder, spesielt de som sendes i e-post eller tekstmeldinger.

Innen Zaib
February 16, 2023
Ransomware
Norsk
February 16, 2023
Ransomware

Populære innlegg

Microsoft advarer statsstøttede trusselaktører bruker AI i angrep

5 days siden

Trojan Al11 Malware Deteksjon

11 months siden

Popup-vinduer "Din iCloud blir hacket" og "Din iPhone har...

7 months siden

Pinaview er en Adware-app med alle funksjoner

10 months siden

Hva er Lucky Ransomware?

7 months siden

«American Express – Oppdater kontoinformasjonen din»...

6 months siden
Norsk
Laster ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hjem

Products

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Help Files Spørsmål og svar Downloads Inquiries & Support

Selskap

About Us Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Personvern Cookie-policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemerke for Microsoft, registrert i USA og andre land.
Mac, iPhone, iPad og App Store er varemerker for Apple Inc., registrert i USA og andre land.
iOS er et registrert varemerke for Cisco Systems, Inc. og/eller dets tilknyttede selskaper i USA og visse andre land.
Android og Google Play er varemerker for Google LLC.