MortalKombat Ransomware ma powiązania z Xorist

Począwszy od grudnia 2022 r. badacze z Cisco Talos monitorują nieznany podmiot, który wykorzystuje dwa niedawno wykryte złośliwe oprogramowanie – ransomware MortalKombat i wariant GO złośliwego oprogramowania Laplas Clipper – w celu kradzieży kryptowalut od swoich ofiar.

Widziano, jak atakujący skanowali Internet w poszukiwaniu wrażliwych maszyn z ujawnionym protokołem zdalnego pulpitu na porcie 3389, używając serwera pobierania, który uruchamia robota RDP, a także ułatwia ransomware MortalKombat. Na podstawie analizy kodu, nazwy klasy i ciągów kluczy rejestru, Talos uważa, że MortalKombat ransomware jest częścią rodziny Xorist.

Napastnicy obierają za cel osoby prywatne, małe i duże firmy oraz żądają zapłaty okupu w kryptowalucie, co zapewnia im kilka korzyści, takich jak anonimowość, decentralizacja i brak regulacji, co utrudnia ich śledzenie. Talos sugeruje, że użytkownicy i organizacje powinni zachować ostrożność podczas przeprowadzania transakcji kryptowalutowych i zwracać uwagę na adres portfela odbiorcy.

Zaleca również aktualizowanie komputerów za pomocą najnowszych poprawek bezpieczeństwa, wdrażanie solidnych rozwiązań do ochrony punktów końcowych z funkcjami wykrywania behawioralnego oraz utrzymywanie przetestowanych rozwiązań do tworzenia kopii zapasowych offline dla punktów końcowych z rozsądnym czasem przywracania w przypadku ataku ransomware.

Łańcuch infekcji MortalKombat

W tej konkretnej kampanii e-mail phishingowy jest używany jako początkowy wektor infekcji, który uruchamia złożony łańcuch ataków, w którym atakujący wdraża oprogramowanie ransomware lub złośliwe oprogramowanie, a następnie usuwa wszelkie ślady złośliwej aktywności, aby uniknąć wykrycia i analizy.

Wiadomość phishingowa zawiera złośliwy plik ZIP, który zawiera skrypt ładujący BAT. Kiedy ofiara uruchamia skrypt, pobiera kolejny szkodliwy plik ZIP z serwera kontrolowanego przez atakującego, automatycznie rozpakowuje go i uruchamia ładunek, którym może być wariant GO złośliwego oprogramowania Laplas Clipper lub ransomware MortalKombat. Skrypt ładujący BAT wykonuje upuszczoną funkcję na komputerze ofiary, a następnie eliminuje wszelkie ślady pobranych i usuniętych złośliwych plików, nie pozostawiając żadnych śladów infekcji.

Podstawową metodą infekcji w przypadku tego ataku jest wiadomość e-mail typu phishing, w której sprawcy podszywają się pod CoinPayments, legalną bramkę płatności kryptowalutowych. Używają sfałszowanego adresu e-mail „norreply at CoinPayments dot net”, a temat wiadomości e-mail to „[CoinPayments dot net] Przekroczono limit czasu płatności”. Wiadomość e-mail zawiera również złośliwy załącznik w postaci pliku ZIP o nazwie pliku podobnej do identyfikatora transakcji, do którego odnosi się treść wiadomości e-mail, przez co odbiorca wierzy, że jest autentyczny. Załącznik zawiera szkodliwy program ładujący BAT, który jest aktywowany, gdy użytkownik rozpakuje plik w celu wyświetlenia jego zawartości.

Jak możesz chronić swój system przed atakami ransomware?

Ataki ransomware mogą być druzgocące, powodując utratę poufnych danych i znaczne koszty finansowe. Aby chronić swój system przed atakami ransomware, możesz wykonać następujące kroki:

  • Kopia zapasowa danych: regularnie twórz kopię zapasową danych na urządzeniu offline, takim jak zewnętrzny dysk twardy, i testuj kopię zapasową, aby upewnić się, że działa poprawnie.
  • Aktualizuj oprogramowanie: Instaluj aktualizacje zabezpieczeń i poprawki dla systemu operacyjnego i aplikacji, gdy tylko staną się dostępne.
  • Używaj oprogramowania antywirusowego: instaluj i regularnie aktualizuj oprogramowanie antywirusowe, aby wykrywać i usuwać wszelkie złośliwe oprogramowanie, które może znajdować się w twoim systemie.
  • Zachowaj ostrożność podczas otwierania załączników wiadomości e-mail: nie otwieraj załączników wiadomości e-mail od nieznanych nadawców lub takich, których się nie spodziewałeś.
  • Używaj silnych haseł: używaj unikalnych, silnych haseł do wszystkich kont i regularnie je zmieniaj.
  • Włącz uwierzytelnianie dwuskładnikowe: Włącz uwierzytelnianie dwuskładnikowe na wszystkich kontach, które oferują je w celu zapewnienia dodatkowej warstwy bezpieczeństwa.
  • Uważaj na podejrzane linki: nie klikaj na linki z niezaufanych źródeł, zwłaszcza te wysyłane w wiadomościach e-mail lub SMS-ach.

Do Zaib
February 16, 2023
Ransomware
Polski
February 16, 2023
Ransomware

Popularne posty

Microsoft ostrzega, że urzędnicy wspierani przez państwo...

5 days temu

Wykrywanie złośliwego oprogramowania Trojan Al11

11 months temu

Wyskakujące okienka „Twój iCloud został zhakowany” i „Twój...

7 months temu

Pinaview to w pełni funkcjonalna aplikacja adware

10 months temu

Co to jest Lucky Ransomware?

7 months temu

Oszustwo e-mailowe „American Express – zaktualizuj informacje...

6 months temu
Polski
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.