MortalKombat Ransomware

डिसेम्बर 2022 देखि, एक अज्ञात खतरा अभिनेताले उनीहरूको पीडितहरूबाट क्रिप्टोकरेन्सी सङ्कलन गर्न दुई अपेक्षाकृत नयाँ धम्की दिने कार्यक्रमहरू - MortalKombat Ransomware र Laplas Clipper Malware को GO संस्करण प्रयोग गर्दै आएको छ। आक्रमणकारीले एक्सपोज्ड रिमोट डेस्कटप प्रोटोकल (RDP) पोर्ट 3389 मार्फत कमजोर मेसिनहरूको लागि इन्टरनेट स्क्यान गर्दैछ, जुन तिनीहरूले पीडितको प्रणालीमा अनाधिकृत पहुँच प्राप्त गर्न प्रयोग गर्छन्। यस आक्रमणलाई सहज बनाउन, आक्रमणकारीले उनीहरूको डाउनलोड सर्भरहरू मध्ये एउटा प्रयोग गर्‍यो, जसले MortalKombat Ransomware पनि होस्ट गर्दछ। प्रयोग गरिएको मालवेयर उपकरण र आक्रमण अभियान बारे विवरण मालवेयर अनुसन्धानकर्ताहरु द्वारा एक रिपोर्ट मा जारी गरिएको थियो।

MortalKombat Ransomware को कोड, वर्गको नाम, र रजिस्ट्री कुञ्जी स्ट्रिङहरू विश्लेषण गरेर, अनुसन्धानकर्ताहरूले उच्च विश्वासका साथ निष्कर्ष निकाले कि खतरा ransomware को Xorist परिवारसँग सम्बन्धित छ। यो ransomware तनाव पीडितका फाइलहरू इन्क्रिप्ट गर्न बलियो इन्क्रिप्शन एल्गोरिदमहरू प्रयोग गरी डिक्रिप्शन कुञ्जीको बदलामा फिरौती भुक्तानीको लागि सोध्नको लागि परिचित छ।

बहु-चरण संक्रमण श्रृंखला MortalKombat Ransomware को तैनाती

आक्रमण अभियान सामान्यतया फिसिङ इमेलबाट सुरु हुन्छ। आक्रमणकारीहरूले सामान्यतया इमेल मार्फत मालवेयर वा ransomware डेलिभर गर्छन् र त्यसपछि भ्रष्ट फाइलहरूको कुनै प्रमाण मेटाएर आफ्नो ट्र्याकहरू कभर गर्न अगाडि बढ्छन्। यसले इन्फोसेक अनुसन्धानकर्ताहरूलाई सञ्चालनको विश्लेषण गर्न गाह्रो बनाउँछ।

प्रारम्भिक फिसिङ इमेलमा BAT लोडर स्क्रिप्ट भएको सम्झौता गरिएको ZIP फाइल हुन्छ। प्रलोभन इमेल वैध ग्लोबल क्रिप्टोकरेन्सी गेटवे CoinPayments बाट आएको रूपमा प्रस्तुत गरिएको छ। अवश्य पनि, संस्था कुनै पनि हिसाबले यी इमेल सन्देशहरूसँग जोडिएको छैन।
थप रूपमा, तिनीहरूका लक्ष्यहरूलाई अझ मूर्ख बनाउन, इमेलहरूसँग एक ठगी प्रेषक इमेल छ।

जब पीडितले लोडर स्क्रिप्ट खोल्छ, यसले आक्रमणकर्ता-नियन्त्रित होस्टिङ सर्भरबाट पीडितको मेसिनमा स्वचालित रूपमा अर्को खराब जिप फाइल डाउनलोड गर्छ। स्क्रिप्टले फाइललाई फुलाउँछ र पेलोड कार्यान्वयन गर्दछ। पेलोड या त Laplas Clipper malwa वा MortalKombat Ransomware को GO संस्करण हुन सक्छ।

लोडर स्क्रिप्टले डिप्लोइड पेलोडलाई पीडितको मेसिनमा प्रक्रियाको रूपमा चलाउँछ र त्यसपछि संक्रमण मार्करहरू हटाउन कुनै पनि डाउनलोड र छाडिएको असुरक्षित फाइलहरू हटाउँछ।

MortalKombat Ransomware को खतरा क्षमताहरू

MortalKombat Ransomware सिर्जनाकर्ताहरू वा तिनीहरूको परिचालन रणनीतिको बारेमा थोरै थाहा छ। दुबै ransomware को नाम र वालपेपर जुन यसले पीडितको प्रणालीमा छोड्छ, लोकप्रिय Mortal Kombat मिडिया फ्रन्चाइजको लागि एक होड हो, जसमा भिडियो गेम र चलचित्रहरूको श्रृंखला समावेश छ।

MortalKombat सँग पीडितको मेसिनमा प्रणाली, एप्लिकेसन, डाटाबेस, ब्याकअप, भर्चुअल मेसिन फाइलहरू, साथै तार्किक ड्राइभको रूपमा म्याप गरिएका टाढाका स्थानहरूमा फाइलहरू सहित फाइलहरूको विस्तृत दायरा इन्क्रिप्ट गर्ने क्षमता छ। यसले फिरौतीको नोट छोड्छ र फाइलहरू इन्क्रिप्ट गरेपछि पीडितको मेसिनमा वालपेपर परिवर्तन गर्दछ। यद्यपि, MortalKombat ले कुनै पनि वाइपर व्यवहार प्रदर्शन गर्दैन वा पीडितको मेसिनमा छाया भोल्युम प्रतिलिपिहरू मेटाउँदैन। यसको सट्टा, यसले विन्डोज एक्सप्लोररलाई भ्रष्ट बनाउँछ, विन्डोज स्टार्टअपबाट फोल्डरहरू र एप्लिकेसनहरू हटाउँछ, र रन कमाण्ड विन्डोलाई असक्षम पार्छ, मेशिनलाई निष्क्रिय बनाउँछ।

खतराको पछाडि साइबर अपराधीहरूले आफ्ना पीडितहरूसँग कुराकानी गर्न GitHub मा उपलब्ध लोकप्रिय तत्काल सन्देश अनुप्रयोग qTOX प्रयोग गर्छन्। थप रूपमा, तिनीहरूले इमेल ठेगाना प्रदान गर्छन् - 'hack3dlikeapro[at]proton[.]me,' सञ्चारको वैकल्पिक माध्यमको रूपमा।

समग्रमा, MortalKombat एक उच्च जोखिमपूर्ण ransomware हो जसले पीडितहरूको मेशिनहरूलाई गम्भीर क्षति पुर्‍याउन सक्छ र मूल्यवान डाटा गुमाउन सक्छ। तपाईंले त्यस्ता खतराहरू विरुद्ध सतर्क रहनु पर्छ र ransomware आक्रमणहरू विरुद्ध प्रणालीहरू सुरक्षित गर्न सक्रिय उपायहरू लिनुपर्छ।