मॉर्टलकोम्बैट रैंसमवेयर
दिसंबर 2022 से, एक अज्ञात खतरा अभिनेता दो अपेक्षाकृत नए धमकी भरे कार्यक्रमों का उपयोग कर रहा है - मॉर्टलकोम्बैट रैनसमवेयर और लाप्लास क्लिपर मालवेयर का एक जीओ संस्करण - अपने पीड़ितों से क्रिप्टोकरेंसी एकत्र करने के लिए। हमलावर एक उजागर रिमोट डेस्कटॉप प्रोटोकॉल (आरडीपी) पोर्ट 3389 के साथ कमजोर मशीनों के लिए इंटरनेट स्कैन कर रहा है, जिसका उपयोग वे पीड़ित के सिस्टम में अनधिकृत पहुंच प्राप्त करने के लिए करते हैं। इस हमले को सुविधाजनक बनाने के लिए, हमलावर ने अपने एक डाउनलोड सर्वर का उपयोग किया, जो मॉर्टलकोम्बैट रैंसमवेयर को भी होस्ट करता है। मैलवेयर शोधकर्ताओं द्वारा एक रिपोर्ट में उपयोग किए गए मैलवेयर टूल और हमले अभियान के बारे में विवरण जारी किया गया था।
MortalKombat Ransomware के कोड, वर्ग का नाम और रजिस्ट्री कुंजी स्ट्रिंग्स का विश्लेषण करने पर, शोधकर्ताओं ने उच्च विश्वास के साथ निष्कर्ष निकाला कि खतरा रैंसमवेयर के Xorist परिवार से संबंधित है। यह रैंसमवेयर स्ट्रेन पीड़ित की फाइलों को एन्क्रिप्ट करने के लिए मजबूत एन्क्रिप्शन एल्गोरिदम का उपयोग करने और फिर डिक्रिप्शन कुंजी के बदले में फिरौती के भुगतान के लिए जाने के लिए जाना जाता है।
MortalKombat Ransomware की तैनाती करने वाली बहु-स्तरीय संक्रमण श्रृंखला
हमले का अभियान आम तौर पर फ़िशिंग ईमेल से शुरू होता है। हमलावर आमतौर पर ईमेल के माध्यम से मैलवेयर या रैनसमवेयर वितरित करते हैं और फिर दूषित फ़ाइलों के किसी भी सबूत को हटाकर अपने ट्रैक को कवर करने के लिए आगे बढ़ते हैं। इससे infosec शोधकर्ताओं के लिए ऑपरेशन का विश्लेषण करना कठिन हो जाता है।
प्रारंभिक फ़िशिंग ईमेल में एक समझौता ज़िप फ़ाइल होती है जिसमें BAT लोडर स्क्रिप्ट होती है। लालच ईमेल को इस तरह प्रस्तुत किया जाता है जैसे कि वैध वैश्विक क्रिप्टोक्यूरेंसी गेटवे कॉइनपेमेंट्स से आ रहा हो। बेशक, इकाई किसी भी तरह से इन ईमेल संदेशों से जुड़ी नहीं है।
इसके अतिरिक्त, अपने लक्ष्यों को और अधिक मूर्ख बनाने के लिए, ईमेल में एक नकली प्रेषक ईमेल होता है।
जब पीड़ित लोडर स्क्रिप्ट को खोलता है, तो यह स्वचालित रूप से पीड़ित की मशीन पर हमलावर-नियंत्रित होस्टिंग सर्वर से एक और दुर्भावनापूर्ण ज़िप फ़ाइल डाउनलोड करता है। स्क्रिप्ट तब फ़ाइल को फुलाती है और पेलोड को निष्पादित करती है। पेलोड या तो लाप्लास क्लिपर मालवा का गो संस्करण या मॉर्टलकोम्बैट रैनसमवेयर हो सकता है।
लोडर स्क्रिप्ट तैनात पेलोड को पीड़ित की मशीन पर एक प्रक्रिया के रूप में चलाता है और फिर संक्रमण मार्करों को खत्म करने के लिए किसी भी डाउनलोड और गिराई गई असुरक्षित फ़ाइलों को हटा देता है।
MortalKombat Ransomware की खतरनाक क्षमताएं
MortalKombat Ransomware के रचनाकारों या उनकी परिचालन रणनीति के बारे में बहुत कम जानकारी है। रैंसमवेयर का नाम और पीड़ित के सिस्टम पर गिरने वाला वॉलपेपर दोनों ही लोकप्रिय मॉर्टल कोम्बैट मीडिया फ्रैंचाइज़ी के लिए एक संकेत है, जिसमें वीडियो गेम और फिल्मों की एक श्रृंखला शामिल है।
MortalKombat में पीड़ित की मशीन पर फ़ाइलों की एक विस्तृत श्रृंखला को एन्क्रिप्ट करने की क्षमता है, जिसमें सिस्टम, एप्लिकेशन, डेटाबेस, बैकअप, वर्चुअल मशीन फ़ाइलें, साथ ही लॉजिकल ड्राइव के रूप में मैप किए गए दूरस्थ स्थानों पर फ़ाइलें शामिल हैं। यह फिरौती का नोट छोड़ देता है और फाइलों को एन्क्रिप्ट करने के बाद पीड़ित की मशीन पर वॉलपेपर बदल देता है। हालाँकि, MortalKombat कोई वाइपर व्यवहार प्रदर्शित नहीं करता है या पीड़ित की मशीन पर शैडो वॉल्यूम कॉपियाँ नहीं हटाता है। इसके बजाय, यह विंडोज एक्सप्लोरर को दूषित कर देता है, विंडोज स्टार्टअप से फ़ोल्डर्स और एप्लिकेशन को हटा देता है, और रन कमांड विंडो को निष्क्रिय कर देता है, जिससे मशीन निष्क्रिय हो जाती है।
खतरे के पीछे साइबर अपराधी अपने पीड़ितों के साथ संवाद करने के लिए गिटहब पर उपलब्ध एक लोकप्रिय इंस्टेंट मैसेजिंग एप्लिकेशन qTOX का उपयोग करते हैं। इसके अतिरिक्त, वे संचार के वैकल्पिक साधन के रूप में एक ईमेल पता - 'hack3dlikeapro[at]proton[.]me,' प्रदान करते हैं।
कुल मिलाकर, मॉर्टलकोम्बैट एक अत्यधिक खतरनाक रैंसमवेयर है जो पीड़ितों की मशीनों को गंभीर नुकसान पहुंचा सकता है और इसके परिणामस्वरूप मूल्यवान डेटा की हानि हो सकती है। आपको ऐसे खतरों के प्रति सतर्क रहना चाहिए और रैनसमवेयर हमलों के खिलाफ सिस्टम को सुरक्षित करने के लिए सक्रिय कदम उठाने चाहिए।
