Программа-вымогатель MortalKombat связана с Xorist

Начиная с декабря 2022 года исследователи из Cisco Talos отслеживают неизвестную организацию, которая использует две части недавно обнаруженного вредоносного программного обеспечения — программу-вымогатель MortalKombat и версию вредоносного ПО Laplas Clipper — для кражи криптовалюты у своих жертв.

Было замечено, что злоумышленники сканировали Интернет в поисках уязвимых машин с открытым протоколом удаленного рабочего стола на порту 3389, используя сервер загрузки, который запускает сканер RDP, а также поддерживает программу-вымогатель MortalKombat. Основываясь на анализе кода, имени класса и строк ключа реестра, Talos считает, что программа-вымогатель MortalKombat является частью семейства Xorist.

Злоумышленники нацелены на отдельных лиц, малый и крупный бизнес и требуют выплаты выкупа в криптовалюте, что дает им ряд преимуществ, таких как анонимность, децентрализация и отсутствие регулирования, что затрудняет их отслеживание. Talos предлагает пользователям и организациям быть осторожными при совершении криптовалютных транзакций и обращать внимание на адрес кошелька получателя.

Он также рекомендует обновлять компьютеры с помощью последних исправлений безопасности, развертывать надежные решения для защиты конечных точек с возможностями обнаружения поведения и поддерживать проверенные автономные решения для резервного копирования для конечных точек с разумным временем восстановления в случае атаки программ-вымогателей.

Цепь заражения MortalKombat

В этой конкретной кампании в качестве начального вектора заражения используется фишинговое электронное письмо, которое запускает сложную цепочку атак, в которой злоумышленник развертывает программу-вымогатель или вредоносное ПО, а затем удаляет все следы вредоносной активности, чтобы избежать обнаружения и анализа.

Фишинговое письмо содержит вредоносный ZIP-файл, содержащий скрипт загрузчика BAT. Когда жертва запускает скрипт, он загружает другой вредоносный ZIP-файл с сервера, контролируемого злоумышленником, автоматически распаковывает его и запускает полезную нагрузку, которая может быть либо GO-вариантом вредоносного ПО Laplas Clipper, либо программой-вымогателем MortalKombat. Скрипт загрузчика BAT выполняет сброшенную полезную нагрузку на компьютере жертвы, а затем уничтожает все следы загруженных и сброшенных вредоносных файлов, не оставляя следов заражения.

Основным методом заражения для этой атаки является фишинговая электронная почта, где злоумышленники выдают себя за CoinPayments, законный платежный шлюз криптовалюты. Они используют поддельный адрес электронной почты «noreply at CoinPayments dot net», а тема письма — «[CoinPayments dot net] Время ожидания платежа истекло». Электронное письмо также включает в себя вредоносный ZIP-файл с именем файла, похожим на идентификатор транзакции, указанный в содержимом электронного письма, что заставляет получателя поверить в его подлинность. Вложение содержит вредоносный загрузчик BAT, который активируется, когда пользователь распаковывает файл для просмотра его содержимого.

Как вы можете защитить свою систему от атак программ-вымогателей?

Атаки программ-вымогателей могут иметь разрушительные последствия, приводя к потере конфиденциальных данных и значительным финансовым затратам. Чтобы защитить свою систему от атак программ-вымогателей, вы можете выполнить следующие действия:

• Резервное копирование данных. Регулярно выполняйте резервное копирование данных на автономное устройство, например на внешний жесткий диск, и проверяйте резервную копию, чтобы убедиться, что она работает правильно.
• Обновляйте свое программное обеспечение: устанавливайте обновления безопасности и исправления для вашей операционной системы и программных приложений, как только они станут доступны.
• Используйте антивирусное программное обеспечение. Установите и регулярно обновляйте антивирусное программное обеспечение для обнаружения и удаления любых вредоносных программ, которые могут присутствовать в вашей системе.
• Будьте осторожны при открытии вложений электронной почты: не открывайте вложения электронной почты от неизвестных отправителей или тех, которых вы не ожидали.
• Используйте надежные пароли. Используйте уникальные надежные пароли для всех учетных записей и регулярно меняйте их.
• Включить двухфакторную аутентификацию. Включите двухфакторную аутентификацию для всех учетных записей, которые ее предлагают, для дополнительного уровня безопасности.
• Будьте осторожны с подозрительными ссылками: не нажимайте на ссылки из ненадежных источников, особенно те, которые отправлены по электронной почте или в текстовых сообщениях.