MortalKombat Ransomware
ਦਸੰਬਰ 2022 ਤੋਂ, ਇੱਕ ਅਣਪਛਾਤਾ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਅਭਿਨੇਤਾ ਆਪਣੇ ਪੀੜਤਾਂ ਤੋਂ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਇਕੱਠਾ ਕਰਨ ਲਈ ਦੋ ਮੁਕਾਬਲਤਨ ਨਵੇਂ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਪ੍ਰੋਗਰਾਮਾਂ - MortalKombat Ransomware ਅਤੇ Laplas Clipper ਮਾਲਵੇਅਰ ਦਾ ਇੱਕ GO ਰੂਪ - ਵਰਤ ਰਿਹਾ ਹੈ। ਹਮਲਾਵਰ ਇੱਕ ਐਕਸਪੋਜ਼ਡ ਰਿਮੋਟ ਡੈਸਕਟੌਪ ਪ੍ਰੋਟੋਕੋਲ (RDP) ਪੋਰਟ 3389 ਨਾਲ ਕਮਜ਼ੋਰ ਮਸ਼ੀਨਾਂ ਲਈ ਇੰਟਰਨੈਟ ਨੂੰ ਸਕੈਨ ਕਰ ਰਿਹਾ ਹੈ, ਜਿਸਦੀ ਵਰਤੋਂ ਉਹ ਪੀੜਤ ਦੇ ਸਿਸਟਮ ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਕਰਦੇ ਹਨ। ਇਸ ਹਮਲੇ ਦੀ ਸਹੂਲਤ ਲਈ, ਹਮਲਾਵਰ ਨੇ ਆਪਣੇ ਇੱਕ ਡਾਉਨਲੋਡ ਸਰਵਰ ਦੀ ਵਰਤੋਂ ਕੀਤੀ, ਜੋ ਕਿ ਮੋਰਟਲਕੋਮਬੈਟ ਰੈਨਸਮਵੇਅਰ ਦੀ ਮੇਜ਼ਬਾਨੀ ਵੀ ਕਰਦਾ ਹੈ। ਮਾਲਵੇਅਰ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਵਰਤੇ ਗਏ ਮਾਲਵੇਅਰ ਟੂਲਸ ਅਤੇ ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਬਾਰੇ ਵੇਰਵੇ ਇੱਕ ਰਿਪੋਰਟ ਵਿੱਚ ਜਾਰੀ ਕੀਤੇ ਗਏ ਸਨ।
MortalKombat Ransomware ਦੇ ਕੋਡ, ਕਲਾਸ ਦੇ ਨਾਮ, ਅਤੇ ਰਜਿਸਟਰੀ ਕੁੰਜੀ ਸਤਰ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਨ 'ਤੇ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਉੱਚ ਵਿਸ਼ਵਾਸ ਨਾਲ ਸਿੱਟਾ ਕੱਢਿਆ ਕਿ ਧਮਕੀ ਰੈਨਸਮਵੇਅਰ ਦੇ Xorist ਪਰਿਵਾਰ ਨਾਲ ਸਬੰਧਤ ਹੈ। ਇਹ ਰੈਨਸਮਵੇਅਰ ਤਣਾਅ ਪੀੜਤ ਦੀਆਂ ਫਾਈਲਾਂ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰਨ ਲਈ ਮਜ਼ਬੂਤ ਏਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਦੀ ਵਰਤੋਂ ਕਰਨ ਅਤੇ ਫਿਰ ਡੀਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀ ਦੇ ਬਦਲੇ ਫਿਰੌਤੀ ਦੀ ਅਦਾਇਗੀ ਦੀ ਮੰਗ ਕਰਨ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ।
ਮਲਟੀ-ਸਟੇਜ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਮੋਰਟਲਕੋਮਬੈਟ ਰੈਨਸਮਵੇਅਰ ਨੂੰ ਤੈਨਾਤ ਕਰਦੀ ਹੈ
ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਆਮ ਤੌਰ 'ਤੇ ਫਿਸ਼ਿੰਗ ਈਮੇਲ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ। ਹਮਲਾਵਰ ਆਮ ਤੌਰ 'ਤੇ ਈਮੇਲ ਰਾਹੀਂ ਮਾਲਵੇਅਰ ਜਾਂ ਰੈਨਸਮਵੇਅਰ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ ਅਤੇ ਫਿਰ ਖਰਾਬ ਫਾਈਲਾਂ ਦੇ ਕਿਸੇ ਵੀ ਸਬੂਤ ਨੂੰ ਮਿਟਾ ਕੇ ਆਪਣੇ ਟਰੈਕਾਂ ਨੂੰ ਕਵਰ ਕਰਨ ਲਈ ਅੱਗੇ ਵਧਦੇ ਹਨ। ਇਹ ਇਨਫੋਸੈਕਸ ਖੋਜਕਰਤਾਵਾਂ ਲਈ ਓਪਰੇਸ਼ਨ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਨਾ ਮੁਸ਼ਕਲ ਬਣਾਉਂਦਾ ਹੈ।
ਸ਼ੁਰੂਆਤੀ ਫਿਸ਼ਿੰਗ ਈਮੇਲ ਵਿੱਚ ਇੱਕ ਸਮਝੌਤਾ ਕੀਤੀ ZIP ਫਾਈਲ ਹੁੰਦੀ ਹੈ ਜਿਸ ਵਿੱਚ BAT ਲੋਡਰ ਸਕ੍ਰਿਪਟ ਹੁੰਦੀ ਹੈ। ਲਾਲਚ ਈਮੇਲ ਨੂੰ ਇਸ ਤਰ੍ਹਾਂ ਪੇਸ਼ ਕੀਤਾ ਗਿਆ ਹੈ ਜਿਵੇਂ ਕਿ ਜਾਇਜ਼ ਗਲੋਬਲ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਗੇਟਵੇ CoinPayments ਤੋਂ ਆ ਰਿਹਾ ਹੈ। ਬੇਸ਼ੱਕ, ਇਕਾਈ ਕਿਸੇ ਵੀ ਤਰੀਕੇ ਨਾਲ ਇਹਨਾਂ ਈਮੇਲ ਸੁਨੇਹਿਆਂ ਨਾਲ ਜੁੜੀ ਨਹੀਂ ਹੈ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਆਪਣੇ ਟੀਚਿਆਂ ਨੂੰ ਹੋਰ ਮੂਰਖ ਬਣਾਉਣ ਲਈ, ਈਮੇਲਾਂ ਵਿੱਚ ਇੱਕ ਧੋਖੇਬਾਜ਼ ਭੇਜਣ ਵਾਲੇ ਈਮੇਲ ਹਨ.
ਜਦੋਂ ਪੀੜਤ ਲੋਡਰ ਸਕ੍ਰਿਪਟ ਖੋਲ੍ਹਦਾ ਹੈ, ਤਾਂ ਇਹ ਆਟੋਮੈਟਿਕ ਹੀ ਇੱਕ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਹੋਸਟਿੰਗ ਸਰਵਰ ਤੋਂ ਪੀੜਤ ਦੀ ਮਸ਼ੀਨ ਉੱਤੇ ਇੱਕ ਹੋਰ ਖਤਰਨਾਕ ਜ਼ਿਪ ਫਾਈਲ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ। ਸਕ੍ਰਿਪਟ ਫਿਰ ਫਾਈਲ ਨੂੰ ਵਧਾਉਂਦੀ ਹੈ ਅਤੇ ਪੇਲੋਡ ਨੂੰ ਚਲਾਉਂਦੀ ਹੈ। ਪੇਲੋਡ ਜਾਂ ਤਾਂ ਲੈਪਲਾਸ ਕਲਿਪਰ ਮਾਲਵਾ ਦਾ ਜੀਓ ਵੇਰੀਐਂਟ ਜਾਂ ਮੋਰਟਲਕੋਮਬੈਟ ਰੈਨਸਮਵੇਅਰ ਹੋ ਸਕਦਾ ਹੈ।
ਲੋਡਰ ਸਕ੍ਰਿਪਟ ਪੀੜਤ ਦੀ ਮਸ਼ੀਨ 'ਤੇ ਇੱਕ ਪ੍ਰਕਿਰਿਆ ਦੇ ਤੌਰ 'ਤੇ ਤੈਨਾਤ ਪੇਲੋਡ ਨੂੰ ਚਲਾਉਂਦੀ ਹੈ ਅਤੇ ਫਿਰ ਲਾਗ ਮਾਰਕਰਾਂ ਨੂੰ ਖਤਮ ਕਰਨ ਲਈ ਕਿਸੇ ਵੀ ਡਾਉਨਲੋਡ ਕੀਤੀਆਂ ਅਤੇ ਛੱਡੀਆਂ ਗਈਆਂ ਅਸੁਰੱਖਿਅਤ ਫਾਈਲਾਂ ਨੂੰ ਹਟਾਉਂਦੀ ਹੈ।
MortalKombat Ransomware ਦੀਆਂ ਧਮਕੀਆਂ ਦੇਣ ਵਾਲੀਆਂ ਸਮਰੱਥਾਵਾਂ
MortalKombat Ransomware ਨਿਰਮਾਤਾਵਾਂ ਜਾਂ ਉਹਨਾਂ ਦੀ ਸੰਚਾਲਨ ਰਣਨੀਤੀ ਬਾਰੇ ਬਹੁਤ ਘੱਟ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। ਰੈਨਸਮਵੇਅਰ ਦਾ ਨਾਮ ਅਤੇ ਵਾਲਪੇਪਰ ਜੋ ਕਿ ਇਹ ਪੀੜਤ ਦੇ ਸਿਸਟਮ 'ਤੇ ਛੱਡਦਾ ਹੈ, ਪ੍ਰਸਿੱਧ ਮੋਰਟਲ ਕੋਮਬੈਟ ਮੀਡੀਆ ਫਰੈਂਚਾਇਜ਼ੀ ਲਈ ਇੱਕ ਸਹਿਮਤੀ ਹੈ, ਜਿਸ ਵਿੱਚ ਵੀਡੀਓ ਗੇਮਾਂ ਅਤੇ ਫਿਲਮਾਂ ਦੀ ਇੱਕ ਲੜੀ ਸ਼ਾਮਲ ਹੈ।
MortalKombat ਕੋਲ ਪੀੜਤ ਦੀ ਮਸ਼ੀਨ 'ਤੇ ਬਹੁਤ ਸਾਰੀਆਂ ਫਾਈਲਾਂ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਸਿਸਟਮ, ਐਪਲੀਕੇਸ਼ਨ, ਡੇਟਾਬੇਸ, ਬੈਕਅੱਪ, ਵਰਚੁਅਲ ਮਸ਼ੀਨ ਫਾਈਲਾਂ, ਅਤੇ ਨਾਲ ਹੀ ਲਾਜ਼ੀਕਲ ਡਰਾਈਵਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਮੈਪ ਕੀਤੀਆਂ ਰਿਮੋਟ ਟਿਕਾਣਿਆਂ ਦੀਆਂ ਫਾਈਲਾਂ ਸ਼ਾਮਲ ਹਨ। ਇਹ ਇੱਕ ਰਿਹਾਈ ਦਾ ਨੋਟ ਛੱਡਦਾ ਹੈ ਅਤੇ ਫਾਈਲਾਂ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰਨ ਤੋਂ ਬਾਅਦ ਪੀੜਤ ਦੀ ਮਸ਼ੀਨ 'ਤੇ ਵਾਲਪੇਪਰ ਬਦਲਦਾ ਹੈ। ਹਾਲਾਂਕਿ, MortalKombat ਕੋਈ ਵੀ ਵਾਈਪਰ ਵਿਵਹਾਰ ਨਹੀਂ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ ਜਾਂ ਪੀੜਤ ਦੀ ਮਸ਼ੀਨ 'ਤੇ ਸ਼ੈਡੋ ਵਾਲੀਅਮ ਕਾਪੀਆਂ ਨੂੰ ਨਹੀਂ ਮਿਟਾਉਂਦਾ ਹੈ। ਇਸ ਦੀ ਬਜਾਏ, ਇਹ ਵਿੰਡੋਜ਼ ਐਕਸਪਲੋਰਰ ਨੂੰ ਖਰਾਬ ਕਰਦਾ ਹੈ, ਵਿੰਡੋਜ਼ ਸਟਾਰਟਅਪ ਤੋਂ ਫੋਲਡਰਾਂ ਅਤੇ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਹਟਾ ਦਿੰਦਾ ਹੈ, ਅਤੇ ਰਨ ਕਮਾਂਡ ਵਿੰਡੋ ਨੂੰ ਅਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ, ਮਸ਼ੀਨ ਨੂੰ ਅਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।
ਧਮਕੀ ਦੇ ਪਿੱਛੇ ਸਾਈਬਰ ਅਪਰਾਧੀ ਆਪਣੇ ਪੀੜਤਾਂ ਨਾਲ ਗੱਲਬਾਤ ਕਰਨ ਲਈ qTOX, GitHub 'ਤੇ ਉਪਲਬਧ ਇੱਕ ਪ੍ਰਸਿੱਧ ਇੰਸਟੈਂਟ ਮੈਸੇਜਿੰਗ ਐਪਲੀਕੇਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਉਹ ਸੰਚਾਰ ਦੇ ਵਿਕਲਪਕ ਸਾਧਨ ਵਜੋਂ ਇੱਕ ਈਮੇਲ ਪਤਾ - 'hack3dlikeapro[at]proton[.]me,' ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ।
ਕੁੱਲ ਮਿਲਾ ਕੇ, MortalKombat ਇੱਕ ਬਹੁਤ ਹੀ ਖ਼ਤਰੇ ਵਾਲਾ ਰੈਨਸਮਵੇਅਰ ਹੈ ਜੋ ਪੀੜਤਾਂ ਦੀਆਂ ਮਸ਼ੀਨਾਂ ਨੂੰ ਭਾਰੀ ਨੁਕਸਾਨ ਪਹੁੰਚਾ ਸਕਦਾ ਹੈ ਅਤੇ ਨਤੀਜੇ ਵਜੋਂ ਕੀਮਤੀ ਡੇਟਾ ਦਾ ਨੁਕਸਾਨ ਹੋ ਸਕਦਾ ਹੈ। ਤੁਹਾਨੂੰ ਅਜਿਹੀਆਂ ਧਮਕੀਆਂ ਦੇ ਵਿਰੁੱਧ ਚੌਕਸ ਰਹਿਣਾ ਚਾਹੀਦਾ ਹੈ ਅਤੇ ਰੈਨਸਮਵੇਅਰ ਹਮਲਿਆਂ ਤੋਂ ਸਿਸਟਮਾਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਲਈ ਕਿਰਿਆਸ਼ੀਲ ਉਪਾਅ ਕਰਨੇ ਚਾਹੀਦੇ ਹਨ।
