MortalKombat Ransomware
ចាប់តាំងពីខែធ្នូ ឆ្នាំ 2022 មក តួអង្គគំរាមកំហែងដែលមិនស្គាល់អត្តសញ្ញាណបាននឹងកំពុងប្រើប្រាស់កម្មវិធីគំរាមកំហែងថ្មីៗចំនួនពីរគឺ MortalKombat Ransomware និង GO វ៉ារ្យ៉ង់នៃមេរោគ Laplas Clipper ដើម្បីប្រមូល cryptocurrency ពីជនរងគ្រោះរបស់ពួកគេ។ អ្នកវាយប្រហារបាននឹងកំពុងធ្វើការស្កែនអ៊ីនធឺណេតសម្រាប់ម៉ាស៊ីនដែលងាយរងគ្រោះជាមួយនឹងច្រក 3389 ដែលបង្ហាញអំពីផ្ទៃតុពីចម្ងាយ (RDP) ដែលបន្ទាប់មកពួកគេប្រើដើម្បីទទួលបានការចូលដំណើរការដោយគ្មានការអនុញ្ញាតទៅកាន់ប្រព័ន្ធរបស់ជនរងគ្រោះ។ ដើម្បីជួយសម្រួលដល់ការវាយប្រហារនេះ អ្នកវាយប្រហារបានប្រើម៉ាស៊ីនមេទាញយកមួយរបស់ពួកគេ ដែលផ្ទុកមេរោគ MortalKombat Ransomware ផងដែរ។ ព័ត៌មានលម្អិតអំពីឧបករណ៍មេរោគដែលបានប្រើប្រាស់ និងយុទ្ធនាការវាយប្រហារត្រូវបានចេញផ្សាយនៅក្នុងរបាយការណ៍មួយដោយអ្នកស្រាវជ្រាវមេរោគ។
នៅពេលវិភាគកូដ ឈ្មោះថ្នាក់ និងខ្សែអក្សរគន្លឹះ Registry នៃ MortalKombat Ransomware អ្នកស្រាវជ្រាវបានសន្និដ្ឋានដោយមានទំនុកចិត្តខ្ពស់ថាការគំរាមកំហែងនេះជាកម្មសិទ្ធិរបស់ក្រុមគ្រួសារ Xorist នៃ ransomware ។ មេរោគ ransomware នេះត្រូវបានគេស្គាល់ថាសម្រាប់ការប្រើប្រាស់ក្បួនដោះស្រាយការអ៊ិនគ្រីបដ៏រឹងមាំ ដើម្បីអ៊ិនគ្រីបឯកសាររបស់ជនរងគ្រោះ ហើយបន្ទាប់មកស្នើសុំការបង់ប្រាក់លោះជាថ្នូរនឹងការឌិគ្រីបសោ។
ខ្សែសង្វាក់ឆ្លងមេរោគពហុដំណាក់កាលដែលដាក់ពង្រាយ MortalKombat Ransomware
យុទ្ធនាការវាយប្រហារជាធម្មតាចាប់ផ្តើមដោយអ៊ីម៉ែលបន្លំ។ អ្នកវាយប្រហារជាធម្មតាបញ្ជូនមេរោគ ឬ ransomware តាមរយៈអ៊ីមែល ហើយបន្ទាប់មកបន្តគ្របដណ្តប់បទរបស់ពួកគេដោយលុបភស្តុតាងនៃឯកសារដែលខូច។ នេះធ្វើឱ្យមានការលំបាកសម្រាប់អ្នកស្រាវជ្រាវ infosec ក្នុងការវិភាគប្រតិបត្តិការ។
អ៊ីមែលបន្លំដំបូងមានឯកសារ ZIP ដែលត្រូវបានសម្របសម្រួលដែលមានស្គ្រីបកម្មវិធីទាញយក BAT ។ អ៊ីមែលទាក់ទាញត្រូវបានបង្ហាញដូចជាមកពីច្រកផ្លូវរូបិយប័ណ្ណគ្រីបតូសកលស្របច្បាប់ CoinPayments ។ ជាការពិតណាស់ អង្គភាពមិនអាចភ្ជាប់ទៅនឹងសារអ៊ីមែលទាំងនេះទេ។
លើសពីនេះទៀត ដើម្បីបន្លំភ្នែកគោលដៅរបស់ពួកគេ អ៊ីមែលមានអ៊ីមែលអ្នកផ្ញើក្លែងក្លាយ។
នៅពេលដែលជនរងគ្រោះបើកស្គ្រីបកម្មវិធីទាញយក វានឹងទាញយកឯកសារ ZIP ដ៏អាក្រក់ផ្សេងទៀតដោយស្វ័យប្រវត្តិពីម៉ាស៊ីនមេបង្ហោះដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារទៅលើម៉ាស៊ីនរបស់ជនរងគ្រោះ។ បន្ទាប់មកស្គ្រីបនឹងបំប៉ោងឯកសារ ហើយប្រតិបត្តិបន្ទុក។ payload អាចជាវ៉ារ្យ៉ង់ GO នៃ Laplas Clipper malwa ឬ MortalKombat Ransomware ។
ស្គ្រីបកម្មវិធីផ្ទុកទិន្នន័យដំណើរការបន្ទុកដែលបានដាក់ពង្រាយជាដំណើរការនៅលើម៉ាស៊ីនរបស់ជនរងគ្រោះ ហើយបន្ទាប់មកយកឯកសារដែលបានទាញយក និងទម្លាក់ចោលដែលមិនមានសុវត្ថិភាព ដើម្បីលុបបំបាត់សញ្ញាសម្គាល់ការឆ្លង។
សមត្ថភាពគំរាមកំហែងនៃ MortalKombat Ransomware
ត្រូវបានគេស្គាល់តិចតួចអំពីអ្នកបង្កើត MortalKombat Ransomware ឬយុទ្ធសាស្ត្រប្រតិបត្តិការរបស់ពួកគេ។ ទាំងឈ្មោះរបស់ ransomware និងផ្ទាំងរូបភាពដែលវាទម្លាក់នៅលើប្រព័ន្ធរបស់ជនរងគ្រោះគឺជាការងឿងឆ្ងល់ចំពោះសិទ្ធិផ្តាច់មុខប្រព័ន្ធផ្សព្វផ្សាយ Mortal Kombat ដែលរួមមានស៊េរីវីដេអូហ្គេម និងភាពយន្ត។
MortalKombat មានសមត្ថភាពក្នុងការអ៊ិនគ្រីបឯកសារជាច្រើននៅលើម៉ាស៊ីនរបស់ជនរងគ្រោះ រួមទាំងប្រព័ន្ធ កម្មវិធី មូលដ្ឋានទិន្នន័យ ការបម្រុងទុក ឯកសារម៉ាស៊ីននិម្មិត ក៏ដូចជាឯកសារនៅលើទីតាំងពីចម្ងាយដែលត្រូវបានគូសផែនទីជាដ្រាយឡូជីខល។ វាទម្លាក់កំណត់ត្រាតម្លៃលោះ និងផ្លាស់ប្តូរផ្ទាំងរូបភាពនៅលើម៉ាស៊ីនរបស់ជនរងគ្រោះបន្ទាប់ពីអ៊ិនគ្រីបឯកសារ។ ទោះយ៉ាងណាក៏ដោយ MortalKombat មិនបង្ហាញឥរិយាបថ wiper ណាមួយ ឬលុប Shadow Volume Copys នៅលើម៉ាស៊ីនរបស់ជនរងគ្រោះទេ។ ផ្ទុយទៅវិញ វាធ្វើឱ្យ Windows Explorer ខូច លុបថត និងកម្មវិធីចេញពី Windows startup ហើយបិទដំណើរការ Run command ដែលធ្វើអោយម៉ាស៊ីនមិនអាចដំណើរការបាន។
ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតនៅពីក្រោយការគំរាមកំហែងប្រើប្រាស់ qTOX ដែលជាកម្មវិធីផ្ញើសារបន្ទាន់ដ៏ពេញនិយមដែលមាននៅលើ GitHub ដើម្បីទំនាក់ទំនងជាមួយជនរងគ្រោះរបស់ពួកគេ។ លើសពីនេះទៀត ពួកគេផ្តល់អាសយដ្ឋានអ៊ីមែល - 'hack3dlikeapro[at]proton[.]me, ជាមធ្យោបាយទំនាក់ទំនងជំនួស។
សរុបមក MortalKombat គឺជា ransomware ដែលអាចគំរាមកំហែងយ៉ាងធ្ងន់ធ្ងរដល់ម៉ាស៊ីនរបស់ជនរងគ្រោះ ហើយបណ្តាលឱ្យបាត់បង់ទិន្នន័យដ៏មានតម្លៃ។ អ្នកគួរតែរក្សាការប្រុងប្រយ័ត្នប្រឆាំងនឹងការគំរាមកំហែងបែបនេះ និងចាត់វិធានការយ៉ាងសកម្មដើម្បីការពារប្រព័ន្ធប្រឆាំងនឹងការវាយប្រហារ ransomware ។
