Korkunç bir şekilde yanlış giden kendi macera oyununu seç gibi.
Talos’un yeni araştırmasına göre, “tanımlanamayan bir aktör” bu iki kötü amaçlı dosyayı dünyanın dört bir yanındaki masaüstlerinde karma yüklü kargaşaya neden olmak için kullanıyor.
Etiket ekibi kampanyası, video oyunu tarafından ünlenen adı ödünç alan Mortal Kombat olarak bilinen fidye yazılımını ve bir pano hırsızı olan Laplas Clipper kötü amaçlı yazılımını sunar. Hedefler, bulaşma akışına bağlı olarak, şifrelenmiş dosyaların kilidini açmak için bir ödeme talebi bulmayı bekleyebilir. veya sistem panosu işlevlerinden kripto para ayrıntılarını ele geçirmek isteyen sinsi kötü amaçlı yazılım.
Bu saldırılar Aralık 2022’den beri yapılıyor ve belirli bir hedefi yok, küçük ve büyük kuruluşların yanı sıra bireyler de etkileniyor. Bulaşma zinciri, kötü amaçlı bir ek barındıran bir e-posta tarafından başlatılır.
E-posta, kripto para birimi temalı ve ödemenizin “zaman aşımına uğradığını” ve yeniden gönderilmesi gerekeceğini iddia ediyor. Bazı kripto para ödemelerinin işlenmesinin ne kadar sürebileceği göz önüne alındığında, bu muhtemelen alıcıların merakını artıracaktır.
E-posta, yürütüldüğünde bulaşma sürecini başlatan bir BAT yükleyici içeren şüpheli bir zip eki ile birlikte gelir. BAT yükleyici, fidye yazılımının indirilmesi ve yürütülmesiyle sonuçlanan bir olaylar zincirini başlatır. veya Clipper kötü amaçlı yazılımı, iki URL’den birinden. (Talos’un analizi, hangisini konuşlandıracağına nasıl karar verdiğini içermez, bu nedenle hedef olabilir veya sadece rastgele bir şans olabilir.)
Korkunç bir şekilde yanlış giden kendi macera oyununu seç gibi.
Laplas Kırpıcı
Laplas Clipper, bir Truva Atı biçimidir ve kripto para hırsızlığına çok akıllıca bir yaklaşım getirir. Normal pano kaydırma kötü amaçlı yazılımı, bir kullanıcının bir kripto para birimi adresini (uzun bir parola gibi görünüyor) kopyalamasını bekler ve ardından bu adresi dolandırıcıya ait bir adresle değiştirir. Sonuç, kurbanın ödemesini amaçlanan alıcı yerine saldırgana göndermesidir.
Laplas, hedeflenen doğru hedefe benzeyen cüzdan adreslerine geçiş yapar. Yanında bir yığın adres taşımak yerine, yakın bir eşleşme için HTTP GET aracılığıyla Komuta ve Kontrol (C2) sunucusuyla bağlantı kurarak evi arar.
Ayrıca Monero, Bitcoin, Ethereum, Solana ve hatta Steam ticaret URL’leri dahil olmak üzere çok çeşitli kripto para birimleri için taklit adresler üretebilir. Bu, elbette, çok fazla cüzdan adresi kopyalayıp yapıştıran insanlar için çok kötü bir haber.
Bu örnekte, hem AppData\Roaming\ klasörü aracılığıyla virüslü makinede kalıcılık hem de Clipper’ın “416 gün boyunca her dakika” etkinleştirdiği bir Windows zamanlanmış görevi oluşturur. Bu temelde bir sistemin kesintisiz olarak izlenmesini sağlar. Ardından, yukarıda belirtildiği gibi hareket ederek sahte taklitler için gerçek cüzdan adreslerini değiştirir.
Malwarebytes, Laplas Clipper’ı Trojan.Clipper olarak algılar.
Mortal Kombat fidye yazılımı
Mortal Kombat Ransomware, Xorist Commodity fidye yazılımını temel alır. Talos’a göre, en çok ABD’nin yanı sıra Filipinler, İngiltere ve Türkiye’de görüldü. Bu tür fidye yazılımları, bir oluşturucu program aracılığıyla oluşturulur. Oluşturucu, uyarı mesajları, istenen dosya uzantısı, duvar kağıdı ekleme, şifrelenmiş dosyalarda kullanılan dosya uzantısı vb. dahil olmak üzere makul miktarda özelleştirmeye izin verir.
Bir sisteme yüklendikten sonra Mortal Kombat, dosya uzantılarına göre şifreleme için geniş bir dosya yelpazesini hedefler. Ayrıca bir fidye notu bırakır ve PC için duvar kağıdını değiştirir. The Record’a göre, duvar kağıdında… tahmin etmişsinizdir… Mortal Kombat’tan Scorpion karakteri yer alıyor.
Bu belirli fidye yazılımı tehdidi hakkında incelikli hiçbir şey yoktur. Talos, geri dönüşüm kutusundaki dosyaların saldırılardan korunmadığını belirtiyor.
Uygulamalar ve klasörler Windows başlangıcından kaldırılır ve bulaşma belirtileri ihtiyatlı bir şekilde düzenlenir ve kaldırılır. Fidye notu, etkilenenleri anlık mesajlaşma yoluyla saldırganlarla iletişime geçmeye iten şu şekildedir:
SİSTEMİNİZ KİLİTLİ OLUP TÜM ÖNEMLİ VERİLERİNİZ ŞİFRELENMİŞTİR. DOSYALARINIZ GÜVENDE ENDİŞE ETMEYİN. TÜM NORMALLERE DÖNMEK İÇİN CERBER DECRYPTOR PROGRAMINI SATIN ALMANIZ GEREKİR. ÖDEMELER SADECE BİTCOİN AĞI ÜZERİNDEN KABUL EDİLİR. ATM MAKİNESİNDEN VEYA ONLINE ALABİLİRSİNİZ.
Daha sonra, yukarıda belirtilen sohbet programını indirmek, saldırganları “arkadaş” olarak eklemek ve iletişime başlamak için talimatlar verilir.
Malwarebytes, Mortal Kombat fidye yazılımını Malware.Ransom.Agent.Generic olarak algılar.
Fidye yazılımından nasıl kaçınılır?
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde yamalamak için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin; fidye yazılımı dağıtmak için kullanılan açıkları ve kötü amaçlı yazılımları tespit edebilen uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri algıla. Ağları bölümlere ayırarak ve ihtiyatlı bir şekilde erişim hakları atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı gerçekleşmeden önce olağandışı etkinliği algılamak için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını belirlemek için birden çok farklı algılama tekniği kullanan Malwarebytes EDR gibi Uç Nokta Algılama ve Yanıt yazılımını dağıtın.
- Tesis dışı, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri, saldırganların erişemeyeceği bir yerde, tesis dışında ve çevrimdışı tutun. Temel iş işlevlerini hızlı bir şekilde geri yükleyebildiğinizden emin olmak için bunları düzenli olarak test edin.
- Bir olay müdahale planı yazın. Bir fidye yazılımı saldırısından sonraki dönem kaotik olabilir. Bir salgını nasıl izole edeceğinizi, paydaşlarla nasıl iletişim kuracağınızı ve sistemlerinizi nasıl geri yükleyeceğinizi özetleyen bir plan yapın.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.