MortalKombat Ransomware

2022 সালের ডিসেম্বর থেকে, একজন অজ্ঞাত হুমকি অভিনেতা তাদের শিকারদের কাছ থেকে ক্রিপ্টোকারেন্সি সংগ্রহ করতে দুটি তুলনামূলকভাবে নতুন হুমকিমূলক প্রোগ্রাম - MortalKombat Ransomware এবং Laplas Clipper ম্যালওয়্যারের একটি GO ভেরিয়েন্ট ব্যবহার করছেন। আক্রমণকারী একটি এক্সপোজড রিমোট ডেস্কটপ প্রোটোকল (RDP) পোর্ট 3389 দিয়ে দুর্বল মেশিনগুলির জন্য ইন্টারনেট স্ক্যান করছে, যা তারা পরে শিকারের সিস্টেমে অননুমোদিত অ্যাক্সেস পেতে ব্যবহার করে। এই আক্রমণের সুবিধার্থে, আক্রমণকারী তাদের ডাউনলোড সার্ভারগুলির একটি ব্যবহার করেছিল, যা MortalKombat Ransomware হোস্ট করে। ম্যালওয়্যার গবেষকদের একটি প্রতিবেদনে ব্যবহৃত ম্যালওয়্যার সরঞ্জাম এবং আক্রমণ অভিযান সম্পর্কে বিশদ প্রকাশ করা হয়েছে।

MortalKombat Ransomware-এর কোড, ক্লাসের নাম এবং রেজিস্ট্রি কী স্ট্রিং বিশ্লেষণ করে, গবেষকরা উচ্চ আত্মবিশ্বাসের সাথে উপসংহারে পৌঁছেছেন যে হুমকিটি র্যানসমওয়্যারের Xorist পরিবারের অন্তর্গত। এই র‍্যানসমওয়্যার স্ট্রেনটি ভিকটিমদের ফাইল এনক্রিপ্ট করার জন্য শক্তিশালী এনক্রিপশন অ্যালগরিদম ব্যবহার করার জন্য পরিচিত এবং তারপর ডিক্রিপশন কী-এর বিনিময়ে মুক্তিপণ প্রদানের জন্য জিজ্ঞাসা করা হয়।

মাল্টি-স্টেজ ইনফেকশন চেইন MortalKombat Ransomware স্থাপন করছে

আক্রমণ অভিযান সাধারণত একটি ফিশিং ইমেল দিয়ে শুরু হয়। আক্রমণকারীরা সাধারণত ইমেলের মাধ্যমে ম্যালওয়্যার বা র‍্যানসমওয়্যার সরবরাহ করে এবং তারপরে দূষিত ফাইলগুলির কোনও প্রমাণ মুছে দিয়ে তাদের ট্র্যাকগুলি কভার করতে এগিয়ে যায়। এটি ইনফোসেক গবেষকদের অপারেশন বিশ্লেষণ করা কঠিন করে তোলে।

প্রাথমিক ফিশিং ইমেলে একটি আপস করা জিপ ফাইল রয়েছে যার একটি BAT লোডার স্ক্রিপ্ট রয়েছে৷ প্রলুব্ধ ইমেলটি এমনভাবে উপস্থাপন করা হয়েছে যেন বৈধ গ্লোবাল ক্রিপ্টোকারেন্সি গেটওয়ে CoinPayments থেকে আসছে। অবশ্যই, সত্তা কোনভাবেই এই ইমেল বার্তাগুলির সাথে সংযুক্ত নয়৷
উপরন্তু, তাদের লক্ষ্যগুলিকে আরও বোকা বানানোর জন্য, ইমেলগুলিতে একটি প্রতারক ইমেল রয়েছে।

যখন শিকার লোডার স্ক্রিপ্টটি খোলে, এটি স্বয়ংক্রিয়ভাবে আক্রমণকারী-নিয়ন্ত্রিত হোস্টিং সার্ভার থেকে শিকারের মেশিনে অন্য ক্ষতিকারক জিপ ফাইল ডাউনলোড করে। তারপর স্ক্রিপ্ট ফাইলটি স্ফীত করে এবং পেলোড চালায়। পেলোডটি হয় ল্যাপ্লাস ক্লিপার মালওয়া বা মর্টালকোম্বাট র্যানসমওয়্যারের GO ভেরিয়েন্ট হতে পারে।

লোডার স্ক্রিপ্ট ভিকটিমের মেশিনে একটি প্রক্রিয়া হিসাবে নিয়োজিত পেলোড চালায় এবং তারপরে সংক্রমণ মার্কারগুলি দূর করার জন্য ডাউনলোড করা এবং ফেলে দেওয়া অনিরাপদ ফাইলগুলি সরিয়ে দেয়।

MortalKombat Ransomware এর হুমকির ক্ষমতা

MortalKombat Ransomware নির্মাতা বা তাদের অপারেশনাল কৌশল সম্পর্কে খুব কমই জানা যায়। র‍্যানসমওয়্যারের নাম এবং ওয়ালপেপার যেটি ভিকটিমদের সিস্টেমে ড্রপ করে তা উভয়ই জনপ্রিয় মর্টাল কম্ব্যাট মিডিয়া ফ্র্যাঞ্চাইজির জন্য একটি সম্মতি, যার মধ্যে ভিডিও গেম এবং চলচ্চিত্রের একটি সিরিজ রয়েছে।

MortalKombat-এর সিস্টেম, অ্যাপ্লিকেশন, ডাটাবেস, ব্যাকআপ, ভার্চুয়াল মেশিন ফাইল, সেইসাথে লজিক্যাল ড্রাইভ হিসাবে ম্যাপ করা দূরবর্তী অবস্থানের ফাইলগুলি সহ ক্ষতিগ্রস্তদের মেশিনে বিস্তৃত ফাইল এনক্রিপ্ট করার ক্ষমতা রয়েছে। এটি একটি মুক্তিপণ নোট ড্রপ করে এবং ফাইলগুলি এনক্রিপ্ট করার পরে শিকারের মেশিনে ওয়ালপেপার পরিবর্তন করে। যাইহোক, MortalKombat কোনো ওয়াইপার আচরণ প্রদর্শন করে না বা শিকারের মেশিনে শ্যাডো ভলিউম কপি মুছে দেয় না। পরিবর্তে, এটি উইন্ডোজ এক্সপ্লোরারকে দূষিত করে, উইন্ডোজ স্টার্টআপ থেকে ফোল্ডার এবং অ্যাপ্লিকেশনগুলি সরিয়ে দেয় এবং রান কমান্ড উইন্ডো অক্ষম করে, মেশিনটিকে অকার্যকর করে।

হুমকির পিছনে সাইবার অপরাধীরা তাদের শিকারদের সাথে যোগাযোগ করতে গিটহাবে উপলব্ধ একটি জনপ্রিয় তাত্ক্ষণিক বার্তাপ্রেরণ অ্যাপ্লিকেশন qTOX ব্যবহার করে। উপরন্তু, তারা একটি ইমেল ঠিকানা প্রদান করে - 'hack3dlikeapro[at]proton[.]me,' যোগাযোগের বিকল্প মাধ্যম হিসেবে।

সামগ্রিকভাবে, MortalKombat হল একটি অত্যন্ত ভয়ঙ্কর র‍্যানসমওয়্যার যা ক্ষতিগ্রস্তদের মেশিনের মারাত্মক ক্ষতি করতে পারে এবং এর ফলে মূল্যবান ডেটা নষ্ট হতে পারে। এই ধরনের হুমকির বিরুদ্ধে আপনার সতর্ক থাকা উচিত এবং র্যানসমওয়্যার আক্রমণের বিরুদ্ধে সিস্টেমগুলিকে সুরক্ষিত করার জন্য সক্রিয় পদক্ষেপ নেওয়া উচিত।