MortalKombat Ransomware heeft banden met Xorist

Vanaf december 2022 hebben onderzoekers met Cisco Talos een onbekende entiteit gevolgd die twee recent ontdekte schadelijke software heeft gebruikt - MortalKombat-ransomware en een GO-variant van Laplas Clipper-malware - om cryptocurrency van zijn slachtoffers te stelen.

De aanvallers scanden het internet op zoek naar kwetsbare machines met een blootgesteld remote desktop-protocol op poort 3389, met behulp van een downloadserver die een RDP-crawler uitvoert en ook de MortalKombat-ransomware mogelijk maakt. Op basis van de analyse van de code, de klassenaam en de registersleutelreeksen, gelooft Talos dat de MortalKombat-ransomware deel uitmaakt van de Xorist-familie.

De aanvallers richten zich op individuen, kleine en grote bedrijven en eisen losgeld in cryptocurrency, wat hen verschillende voordelen biedt, zoals anonimiteit, decentralisatie en gebrek aan regulering, waardoor ze moeilijk te volgen zijn. Talos suggereert dat gebruikers en organisaties voorzichtig moeten zijn bij het uitvoeren van cryptocurrency-transacties en letten op het portemonnee-adres van de ontvanger.

Het raadt ook aan om computers bij te werken met de nieuwste beveiligingspatches, robuuste eindpuntbeveiligingsoplossingen met gedragsdetectiemogelijkheden te implementeren en geteste, offline back-upoplossingen voor eindpunten te houden met een redelijke hersteltijd in geval van een ransomware-aanval.

MortalKombat-infectieketen

In deze specifieke campagne wordt een phishing-e-mail gebruikt als de eerste infectievector, die een complexe aanvalsketen activeert waarbij de aanvaller ransomware of malware inzet en vervolgens alle sporen van kwaadaardige activiteit verwijdert om detectie en analyse te voorkomen.

De phishing-e-mail bevat een kwaadaardig ZIP-bestand dat een BAT-loader-script bevat. Wanneer het slachtoffer het script uitvoert, downloadt het een ander schadelijk ZIP-bestand van een server die wordt beheerd door de aanvaller, pakt het automatisch uit en voert de payload uit, wat de GO-variant van de Laplas Clipper-malware of de MortalKombat-ransomware kan zijn. Het BAT-loader-script voert de gedropte payload uit op de computer van het slachtoffer en elimineert vervolgens alle sporen van de gedownloade en gedropte schadelijke bestanden, waardoor er geen bewijs achterblijft van de infectie.

De primaire infectiemethode voor deze aanval is via een phishing-e-mail, waarbij de daders zich voordoen als CoinPayments, een legitieme cryptocurrency-betalingsgateway. Ze gebruiken een vervalst e-mailadres, "noreply at CoinPayments dot net," en het onderwerp van de e-mail is "[CoinPayments dot net] Payment Timed Out." De e-mail bevat ook een kwaadaardige ZIP-bestandsbijlage met een bestandsnaam die lijkt op een transactie-ID waarnaar in de inhoud van de e-mail wordt verwezen, waardoor de ontvanger denkt dat het echt is. De bijlage bevat een schadelijke BAT-lader, die wordt geactiveerd wanneer de gebruiker het bestand uitpakt om de inhoud ervan te bekijken.

Hoe kunt u uw systeem beschermen tegen ransomware-aanvallen?

Ransomware-aanvallen kunnen verwoestend zijn, resulterend in het verlies van gevoelige gegevens en aanzienlijke financiële kosten. Om uw systeem te beschermen tegen ransomware-aanvallen, kunt u deze stappen volgen:

  • Maak een back-up van uw gegevens: Maak regelmatig een back-up van uw gegevens op een offline apparaat, zoals een externe harde schijf, en test of de back-up correct werkt.
  • Houd uw software up-to-date: installeer beveiligingsupdates en patches voor uw besturingssysteem en softwaretoepassingen zodra deze beschikbaar zijn.
  • Gebruik antivirussoftware: installeer antivirussoftware en werk deze regelmatig bij om eventuele malware op uw systeem te detecteren en te verwijderen.
  • Wees voorzichtig bij het openen van e-mailbijlagen: open geen e-mailbijlagen van onbekende afzenders of van onbekende afzenders.
  • Gebruik sterke wachtwoorden: Gebruik unieke, sterke wachtwoorden voor alle accounts en wijzig deze regelmatig.
  • Schakel tweefactorauthenticatie in: Schakel tweefactorauthenticatie in voor alle accounts die dit aanbieden voor een extra beveiligingslaag.
  • Pas op voor verdachte links: klik niet op links van niet-vertrouwde bronnen, vooral niet op links die in e-mails of sms-berichten worden verzonden.

Tegen Zaib
February 16, 2023
Ransomware
Nederlands
February 16, 2023
Ransomware

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

5 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.