MortalKombat 勒索软件与 Xorist 有联系
从 2022 年 12 月开始,Cisco Talos 的研究人员一直在监视一个未知实体,该实体一直在使用两种最近发现的恶意软件——MortalKombat 勒索软件和 Laplas Clipper 恶意软件的 GO 变体——从受害者那里窃取加密货币。
人们看到攻击者使用运行 RDP 爬虫并促进 MortalKombat 勒索软件的下载服务器在端口 3389 上使用暴露的远程桌面协议扫描互联网以寻找易受攻击的机器。根据对代码、类名和注册表键字符串的分析,Talos 认为 MortalKombat 勒索软件是 Xorist 家族的一部分。
攻击者一直以个人、小型和大型企业为目标,并要求以加密货币支付赎金,这为他们提供了匿名、去中心化和缺乏监管等多项好处,使其难以追踪。 Talos 建议用户和组织在进行加密货币交易时要小心,并注意收款人的钱包地址。
它还建议使用最新的安全补丁更新计算机,部署具有行为检测功能的强大端点保护解决方案,并为端点保留经过测试的离线备份解决方案,并在发生勒索软件攻击时提供合理的恢复时间。
真人快打感染链
在此特定活动中,网络钓鱼电子邮件用作初始感染媒介,触发复杂的攻击链,攻击者在其中部署勒索软件或恶意软件,然后删除所有恶意活动痕迹以避免检测和分析。
网络钓鱼电子邮件包含一个包含 BAT 加载程序脚本的恶意 ZIP 文件。当受害者运行脚本时,它会从攻击者控制的服务器上下载另一个有害的 ZIP 文件,自动解压缩并运行有效负载,它可能是 Laplas Clipper 恶意软件的 GO 变种或 MortalKombat 勒索软件。 BAT 加载程序脚本在受害者的计算机上执行投放的有效负载,然后消除所有已下载和投放的恶意文件的痕迹,不留下任何感染证据。
这种攻击的主要感染方法是通过网络钓鱼电子邮件,攻击者伪装成合法的加密货币支付网关 CoinPayments。他们使用了一个欺骗性的电子邮件地址,“noreply at CoinPayments dot net”,电子邮件的主题是“[CoinPayments dot net] 付款超时”。该电子邮件还包含一个恶意 ZIP 文件附件,其文件名类似于电子邮件内容中引用的交易 ID,从而使收件人相信它是真实的。附件包含一个有害的 BAT 加载程序,当用户解压缩文件以查看其内容时,它会被激活。
如何保护您的系统免受勒索软件攻击?
勒索软件攻击可能是毁灭性的,会导致敏感数据丢失和巨大的财务成本。要保护您的系统免受勒索软件攻击,您可以按照以下步骤操作:
- 备份您的数据:定期将您的数据备份到离线设备,例如外置硬盘,并测试备份以确保其正常工作。
- 保持您的软件更新:尽快为您的操作系统和软件应用程序安装安全更新和补丁。
- 使用防病毒软件:安装并定期更新防病毒软件,以检测并删除系统中可能存在的任何恶意软件。
- 打开电子邮件附件时要小心:不要打开来自未知发件人或您不希望的发件人的电子邮件附件。
- 使用强密码:为所有帐户使用唯一的强密码并定期更改。
- 启用双因素身份验证:在所有提供双因素身份验证的帐户上启用双因素身份验证以提供额外的安全层。
- 小心可疑链接:不要点击来源不明的链接,尤其是通过电子邮件或短信发送的链接。