MortalKombat Ransomware

منذ كانون الأول (ديسمبر) 2022 ، يستخدم ممثل تهديد مجهول برنامجين جديدين نسبيًا للتهديد - MortalKombat Ransomware ومتغير GO من البرامج الضارة Laplas Clipper - لجمع العملات المشفرة من ضحاياهم. كان المهاجم يفحص الإنترنت بحثًا عن أجهزة ضعيفة باستخدام منفذ بروتوكول سطح مكتب بعيد مكشوف (RDP) رقم 3389 ، والذي يستخدمه بعد ذلك للحصول على وصول غير مصرح به إلى نظام الضحية. لتسهيل هذا الهجوم ، استخدم المهاجم أحد خوادم التنزيل الخاصة به ، والذي يستضيف أيضًا MortalKombat Ransomware. تم نشر تفاصيل حول أدوات البرامج الضارة المستخدمة وحملة الهجوم في تقرير صادر عن باحثي البرامج الضارة.

عند تحليل الكود واسم الفئة وسلاسل مفاتيح التسجيل الخاصة بـ MortalKombat Ransomware ، خلص الباحثون بثقة عالية إلى أن التهديد ينتمي إلى عائلة Xorist من برامج الفدية. تُعرف سلسلة برامج الفدية هذه باستخدام خوارزميات تشفير قوية لتشفير ملفات الضحية ثم المطالبة بدفع فدية مقابل مفتاح فك التشفير.

سلسلة العدوى متعددة المراحل التي تنشر برنامج MortalKombat Ransomware

تبدأ حملة الهجوم عادةً برسالة بريد إلكتروني للتصيد الاحتيالي. عادةً ما يقوم المهاجمون بتسليم البرامج الضارة أو برامج الفدية عبر البريد الإلكتروني ثم يتابعون تغطية مساراتهم عن طريق حذف أي دليل على الملفات التالفة. هذا يجعل من الصعب على باحثي إنفوسك تحليل العملية.

تحتوي رسالة البريد الإلكتروني المخادعة الأولية على ملف مضغوط تم اختراقه يحتوي على برنامج نصي لمحمل BAT. يتم تقديم البريد الإلكتروني المغري كما لو كان قادمًا من بوابة العملات المشفرة العالمية المشروعة CoinPayments. بالطبع ، الكيان غير متصل بأي حال من الأحوال برسائل البريد الإلكتروني هذه.
بالإضافة إلى ذلك ، لمزيد من خداع أهدافهم ، تحتوي رسائل البريد الإلكتروني على بريد إلكتروني مرسل مخادع.

عندما تفتح الضحية النص البرمجي المحمل ، فإنها تقوم تلقائيًا بتنزيل ملف ZIP ضار آخر من خادم استضافة يتحكم فيه المهاجم إلى جهاز الضحية. يقوم البرنامج النصي بعد ذلك بتضخيم الملف وتنفيذ الحمولة. يمكن أن تكون الحمولة إما البديل GO من Laplas Clipper malwa أو MortalKombat Ransomware.

يقوم البرنامج النصي المحمل بتشغيل الحمولة المنشورة كعملية على جهاز الضحية ثم يزيل أي ملفات غير آمنة تم تنزيلها وإسقاطها للتخلص من علامات الإصابة.

قدرات التهديد من MortalKombat Ransomware

لا يُعرف سوى القليل عن منشئي MortalKombat Ransomware أو إستراتيجيتهم التشغيلية. يعد كل من اسم ransomware وورق الحائط الذي يسقطه على نظام الضحية إشارة إلى امتياز Mortal Kombat الإعلامي الشهير ، والذي يتضمن سلسلة من ألعاب الفيديو والأفلام.

يمتلك MortalKombat القدرة على تشفير مجموعة واسعة من الملفات على جهاز الضحية ، بما في ذلك النظام والتطبيق وقاعدة البيانات والنسخ الاحتياطي وملفات الآلة الافتراضية ، بالإضافة إلى الملفات الموجودة في المواقع البعيدة التي تم تعيينها كمحركات أقراص منطقية. يقوم بإسقاط مذكرة فدية وتغيير خلفية الشاشة على جهاز الضحية بعد تشفير الملفات. ومع ذلك ، لا يعرض MortalKombat أي سلوك ممسحة أو يحذف نسخ Shadow Volume Copies على جهاز الضحية. بدلاً من ذلك ، فإنه يفسد مستكشف Windows ، ويزيل المجلدات والتطبيقات من بدء تشغيل Windows ، ويعطل نافذة أمر التشغيل ، مما يجعل الجهاز غير قابل للتشغيل.

يستخدم مجرمو الإنترنت الذين يقفون وراء التهديد qTOX ، وهو تطبيق مراسلة فورية شائع متاح على GitHub ، للتواصل مع ضحاياهم. بالإضافة إلى ذلك ، يقدمون عنوان بريد إلكتروني - "hack3dlikeapro [at] proton [.] me" ، كوسيلة بديلة للاتصال.

بشكل عام ، يعد MortalKombat أحد برامج الفدية الخطيرة التي يمكن أن تسبب أضرارًا جسيمة لأجهزة الضحايا وتؤدي إلى فقدان البيانات القيمة. يجب أن تظل متيقظًا ضد مثل هذه التهديدات واتخاذ إجراءات استباقية لتأمين الأنظمة ضد هجمات برامج الفدية.