• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Организации США стали героями франшизы MortalKombat

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Множество организаций в США, Великобритании, Турции и на Филиппинах стали жертвами новой программы-вымогателя, которую исследователи кибербезопасности назвали MortalKombat.

Специалисты Cisco Talos отслеживают неизвестную группировку, которая развернула MortalKombat, а также разработала новое вредоносное ПО для кражи криптовалюты под названием Laplas Clipper. Большинство жертв кампании были в США. Исследователи Cisco связали с кампанией два URL-адреса, один из которых ведет к C2-серверу в Польше.

MortalKombat впервые была обнаружена в январе 2023 года, и на данный момент о ее разработчиках и операционной модели ничего не известно. По словам аналитиков, название программы-вымогателя и обои, которые она сбрасывает на систему-жертву, являются отсылкой к медиа-франшизе Mortal Kombat.

Программа-вымогатель шифрует различные файлы в системе жертвы:
  • системные файлы;
  • файлы приложений;
  • файлы базы данных, резервных копий и виртуальных машин;
  • файлы в удаленных местах, отображаемые как логические диски.
Согласно отчёту Cisco Talos, группа вымогателей сканирует Интернет в поисках организаций, которые оставили RDP-протоколы открытыми. Таким образом, жертвами атак стали отдельные лица, компании малого бизнеса и крупные организации.

Другие атаки кампании начинаются с фишинговых писем, к которым прилагается ZIP-архив. При открытии вредоносное ПО Laplas Clipper или программа-вымогатель MortalKombat развертываются, а затем удаляются, чтобы замести следы и затруднить анализ.

В одном электронном письме хакеры выдавали себя за криптовалютную платформу CoinPayments. В письме ZIP-архив якобы содержал информацию о конкретной транзакции, побуждая жертву открыть его. При открытии архива запускается MortalKombat, меняет обои компьютера жертвы, приводит к сбою проводника Windows и удаляет некоторые приложения.

По словам исследователей, помимо других соответствий, сходство в коде указывает на то, что программа-вымогатель принадлежит к семейству Xorist, существующее с 2010 года. Простота настройки Xorist позволяет киберпреступникам создавать новые варианты с другими именами, расширениями файлов и записками о выкупе.

Наряду с MortalKombat исследователи обнаружили вредоносное ПО Laplas Clipper, которое они ранее идентифицировали в атаке в ноябре 2022 года. В отличие от стандартных клиперов, которые просто меняют скопированный адрес кошелька получателя на адрес злоумышленника, Laplas Clipper использует адрес, очень похожий на тот, который скопировал пользователь. Этот процесс происходит на сервере злоумышленника, поэтому точный механизм остается неизвестным.

Примерно за неделю количество образцов Laplas Clipper выросло с 20 до 55 в день в конце октября. Тогда исследователи заключили, что Laplas Clipper распространяется через Smoke Loader и Raccoon Stealer, что указывает на повышенной внимание сообщества киберпреступников к этой программе. Разработчики MortalKombat и Laplas Clipper заявили в Telegram, что они делают новые варианты Laplas Clipper и планируют выпустить обновления в ближайшие месяцы.
 
Сверху