MortalKombat 勒索軟件與 Xorist 有關聯
從 2022 年 12 月開始,Cisco Talos 的研究人員一直在監視一個未知實體,該實體一直在使用兩種最近發現的惡意軟件——MortalKombat 勒索軟件和 Laplas Clipper 惡意軟件的 GO 變體——從受害者那裡竊取加密貨幣。
人們看到攻擊者使用運行 RDP 爬蟲並促進 MortalKombat 勒索軟件的下載服務器在端口 3389 上使用暴露的遠程桌面協議掃描互聯網以尋找易受攻擊的機器。根據對代碼、類名和註冊表鍵字符串的分析,Talos 認為 MortalKombat 勒索軟件是 Xorist 家族的一部分。
攻擊者一直以個人、小型和大型企業為目標,並要求以加密貨幣支付贖金,這為他們提供了匿名、去中心化和缺乏監管等多項好處,使其難以追踪。 Talos 建議用戶和組織在進行加密貨幣交易時要小心,並註意收款人的錢包地址。
它還建議使用最新的安全補丁更新計算機,部署具有行為檢測功能的強大端點保護解決方案,並為端點保留經過測試的離線備份解決方案,並在發生勒索軟件攻擊時提供合理的恢復時間。
真人快打感染鏈
在此特定活動中,網絡釣魚電子郵件用作初始感染媒介,觸發複雜的攻擊鏈,攻擊者在其中部署勒索軟件或惡意軟件,然後刪除所有惡意活動痕跡以避免檢測和分析。
網絡釣魚電子郵件包含一個包含 BAT 加載程序腳本的惡意 ZIP 文件。當受害者運行腳本時,它會從攻擊者控制的服務器上下載另一個有害的 ZIP 文件,自動解壓縮並運行有效負載,它可能是 Laplas Clipper 惡意軟件的 GO 變種或 MortalKombat 勒索軟件。 BAT 加載程序腳本在受害者的計算機上執行投放的有效負載,然後消除所有已下載和投放的惡意文件的痕跡,不留下任何感染證據。
這種攻擊的主要感染方法是通過網絡釣魚電子郵件,攻擊者偽裝成合法的加密貨幣支付網關 CoinPayments。他們使用了一個欺騙性的電子郵件地址,“noreply at CoinPayments dot net”,電子郵件的主題是“[CoinPayments dot net] 付款超時”。該電子郵件還包含一個惡意 ZIP 文件附件,其文件名類似於電子郵件內容中引用的交易 ID,從而使收件人相信它是真實的。附件包含一個有害的 BAT 加載程序,當用戶解壓縮文件以查看其內容時,它會被激活。
如何保護您的系統免受勒索軟件攻擊?
勒索軟件攻擊可能是毀滅性的,會導致敏感數據丟失和巨大的財務成本。要保護您的系統免受勒索軟件攻擊,您可以按照以下步驟操作:
- 備份您的數據:定期將您的數據備份到離線設備,例如外部硬盤驅動器,並測試備份以確保其正常工作。
- 保持您的軟件更新:盡快為您的操作系統和軟件應用程序安裝安全更新和補丁。
- 使用防病毒軟件:安裝並定期更新防病毒軟件,以檢測並刪除系統中可能存在的任何惡意軟件。
- 打開電子郵件附件時要小心:不要打開來自未知發件人或您不希望的發件人的電子郵件附件。
- 使用強密碼:為所有帳戶使用唯一的強密碼並定期更改。
- 啟用雙因素身份驗證:在所有提供雙因素身份驗證的帳戶上啟用雙因素身份驗證以提供額外的安全層。
- 小心可疑鏈接:不要點擊來源不明的鏈接,尤其是通過電子郵件或短信發送的鏈接。
