MortalKombat Ransomware ma powiązania z Xorist
Począwszy od grudnia 2022 r. badacze z Cisco Talos monitorują nieznany podmiot, który wykorzystuje dwa niedawno wykryte złośliwe oprogramowanie – ransomware MortalKombat i wariant GO złośliwego oprogramowania Laplas Clipper – w celu kradzieży kryptowalut od swoich ofiar.
Widziano, jak atakujący skanowali Internet w poszukiwaniu wrażliwych maszyn z ujawnionym protokołem zdalnego pulpitu na porcie 3389, używając serwera pobierania, który uruchamia robota RDP, a także ułatwia ransomware MortalKombat. Na podstawie analizy kodu, nazwy klasy i ciągów kluczy rejestru, Talos uważa, że MortalKombat ransomware jest częścią rodziny Xorist.
Napastnicy obierają za cel osoby prywatne, małe i duże firmy oraz żądają zapłaty okupu w kryptowalucie, co zapewnia im kilka korzyści, takich jak anonimowość, decentralizacja i brak regulacji, co utrudnia ich śledzenie. Talos sugeruje, że użytkownicy i organizacje powinni zachować ostrożność podczas przeprowadzania transakcji kryptowalutowych i zwracać uwagę na adres portfela odbiorcy.
Zaleca również aktualizowanie komputerów za pomocą najnowszych poprawek bezpieczeństwa, wdrażanie solidnych rozwiązań do ochrony punktów końcowych z funkcjami wykrywania behawioralnego oraz utrzymywanie przetestowanych rozwiązań do tworzenia kopii zapasowych offline dla punktów końcowych z rozsądnym czasem przywracania w przypadku ataku ransomware.
Łańcuch infekcji MortalKombat
W tej konkretnej kampanii e-mail phishingowy jest używany jako początkowy wektor infekcji, który uruchamia złożony łańcuch ataków, w którym atakujący wdraża oprogramowanie ransomware lub złośliwe oprogramowanie, a następnie usuwa wszelkie ślady złośliwej aktywności, aby uniknąć wykrycia i analizy.
Wiadomość phishingowa zawiera złośliwy plik ZIP, który zawiera skrypt ładujący BAT. Kiedy ofiara uruchamia skrypt, pobiera kolejny szkodliwy plik ZIP z serwera kontrolowanego przez atakującego, automatycznie rozpakowuje go i uruchamia ładunek, którym może być wariant GO złośliwego oprogramowania Laplas Clipper lub ransomware MortalKombat. Skrypt ładujący BAT wykonuje upuszczoną funkcję na komputerze ofiary, a następnie eliminuje wszelkie ślady pobranych i usuniętych złośliwych plików, nie pozostawiając żadnych śladów infekcji.
Podstawową metodą infekcji w przypadku tego ataku jest wiadomość e-mail typu phishing, w której sprawcy podszywają się pod CoinPayments, legalną bramkę płatności kryptowalutowych. Używają sfałszowanego adresu e-mail „norreply at CoinPayments dot net”, a temat wiadomości e-mail to „[CoinPayments dot net] Przekroczono limit czasu płatności”. Wiadomość e-mail zawiera również złośliwy załącznik w postaci pliku ZIP o nazwie pliku podobnej do identyfikatora transakcji, do którego odnosi się treść wiadomości e-mail, przez co odbiorca wierzy, że jest autentyczny. Załącznik zawiera szkodliwy program ładujący BAT, który jest aktywowany, gdy użytkownik rozpakuje plik w celu wyświetlenia jego zawartości.
Jak możesz chronić swój system przed atakami ransomware?
Ataki ransomware mogą być druzgocące, powodując utratę poufnych danych i znaczne koszty finansowe. Aby chronić swój system przed atakami ransomware, możesz wykonać następujące kroki:
- Kopia zapasowa danych: regularnie twórz kopię zapasową danych na urządzeniu offline, takim jak zewnętrzny dysk twardy, i testuj kopię zapasową, aby upewnić się, że działa poprawnie.
- Aktualizuj oprogramowanie: Instaluj aktualizacje zabezpieczeń i poprawki dla systemu operacyjnego i aplikacji, gdy tylko staną się dostępne.
- Używaj oprogramowania antywirusowego: instaluj i regularnie aktualizuj oprogramowanie antywirusowe, aby wykrywać i usuwać wszelkie złośliwe oprogramowanie, które może znajdować się w twoim systemie.
- Zachowaj ostrożność podczas otwierania załączników wiadomości e-mail: nie otwieraj załączników wiadomości e-mail od nieznanych nadawców lub takich, których się nie spodziewałeś.
- Używaj silnych haseł: używaj unikalnych, silnych haseł do wszystkich kont i regularnie je zmieniaj.
- Włącz uwierzytelnianie dwuskładnikowe: Włącz uwierzytelnianie dwuskładnikowe na wszystkich kontach, które oferują je w celu zapewnienia dodatkowej warstwy bezpieczeństwa.
- Uważaj na podejrzane linki: nie klikaj na linki z niezaufanych źródeł, zwłaszcza te wysyłane w wiadomościach e-mail lub SMS-ach.