Tedarik listesi gibi davranan yeni bir kimlik avı kampanyası, kullanıcılara, bir hedef sistemini on beş dakikanın altında şifreleyen MIRCOP Ransomware ile enfekte eder.
Aktörler, bir siparişle ilgili önceki bir düzenlemeyi takip ederek kurbana istenmeyen bir e-posta göndererek saldırıya başlar.
E-posta gövdesi, tıklanırsa, bir MHT dosyası (web sayfası arşivi) kurbanın makinesine indirir) bir Google Drive URL'sine köprü içerir.
Google Drive, e-postaya meşruiyet getirmeye hizmet ediyor ve ortak günlük iş uygulamaları ile çok iyi uyumludur.
Tehdit aktörleri için basit fakat bunun gibi temel seçenekler, kurban arasında URL'yi tıklatarak veya e-postayı spam klasörüne gönderebilir.
Dosyayı açanlar yalnızca sözde bir tedarikçi listesinin bulanık bir görüntüsünü görebilir, bir meşruiyetle ekstra bir dokunuş için damgalanmış ve imzalanmıştır.
MHT dosyası IIS açıldığında, "hxxps: // a [.] POMF [.] CAT / GCTPE.RAR'dan bir .NET Malware Downloader içeren bir RAR arşivi indirir.
RAR arşivi, MIRCOP yükünü enfekte olmuş sisteme bırakmak ve yürütmek için VBS komut dosyalarını kullanan bir EXE dosyası içerir.
Ransomware hemen etkinleştirir ve ekran görüntülerini almaya başlar, dosyaları kilitler, arka planı korkunç bir zombi temalı görüntüye değiştirir ve kurbanların bir sonraki ne yapacakları hakkında talimatlar sunar.
COFENSE'ye göre, bu işlem kurbanın kimlik avı e-postasını açtığı andan itibaren 15 dakikadan daha az sürer.
Bundan sonra, kullanıcının yalnızca aktörlerle iletişim kurmak ve fidye ödemesini düzenlemek için belirli web tarayıcılarını açmasına izin verilir.
Aktörler, kurbanın makinesine gizlice girmek ya da siber casusluk yapmak ya da gasp için dosyaları çalmak için uzun süredir orada kalmakla ilgilenmiyorlar.
Aksine, saldırı hızla ortaya çıkıyor ve bela kaynağı kurbana hızla belirginleşiyor
Microcop, saçma fidye taleplerini kurbanlarına teslim eden eski bir fidye yazılım suşudur.
Bu, Michael Gillespie şifrelemesini kırana kadar ve ücretsiz bir çalışma şifresini serbest bıraktı.
Eski şifreleme işleminin en son kampanyada bırakılan yükler ile çalıştığını test edemedik, ancak dosyaların kilidini açabileceği mümkündür.
Cofense, aynı varyantın bu yıl haziran ayından bu yana dolaşımda olduğunu söylüyor, bu yüzden microcop hala oradadır ve insanların istenmeyen e-postaların işlenmesi ile temkinli olması gerekir.
Operasyon Cyclone Fırsatları Plop Ransomware işlemine darbe
İngiltere'de İşçi Partisi, Ransomware saldırısından sonra veri ihlalini açıklar.
Ransomware'deki hafta - 5 Kasım 2021 - Bounties Yerleştirme
FBI: Ransomware çeteleri geçen yılda çeşitli tribal edilmiş kumarhanelere çarptı
Blackmatter Ransomware, polis baskısı nedeniyle kapatıldığını iddia ediyor
Kaynak: Bleeping Computer