MortalKombat рансъмуер

От декември 2022 г. неидентифициран участник в заплаха използва две сравнително нови заплашителни програми – MortalKombat рансъмуер и GO вариант на зловреден софтуер Laplas Clipper – за събиране на криптовалута от своите жертви. Нападателят е сканирал интернет за уязвими машини с открит порт 3389 на протокола за отдалечен работен плот (RDP), който след това използва, за да получи неоторизиран достъп до системата на жертвата. За да улесни тази атака, нападателят използва един от техните сървъри за изтегляне, който също хоства MortalKombat Ransomware. Подробности за използваните инструменти за зловреден софтуер и кампанията за атака бяха публикувани в доклад от изследователи на зловреден софтуер.

След като анализираха кода, името на класа и ключовите низове в регистъра на MortalKombat Ransomware, изследователите заключиха с голяма увереност, че заплахата принадлежи към семейството Xorist рансъмуер. Този вид рансъмуер е известен с това, че използва силни алгоритми за криптиране, за да криптира файловете на жертвата и след това да иска плащане на откуп в замяна на ключа за декриптиране.

Многоетапната верига на заразяване Разгръщане на MortalKombat Ransomware

Кампанията за атака обикновено започва с фишинг имейл. Нападателите обикновено доставят злонамерен софтуер или рансъмуер чрез имейл и след това продължават да прикриват следите си, като изтриват всякакви доказателства за повредените файлове. Това затруднява изследователите на информационната сигурност да анализират операцията.

Първоначалният фишинг имейл съдържа компрометиран ZIP файл, който има скрипт за зареждане на BAT. Примамливият имейл се представя така, сякаш идва от легитимния глобален портал за криптовалута CoinPayments. Разбира се, обектът по никакъв начин не е свързан с тези имейл съобщения.
Освен това, за да заблудят допълнително своите цели, имейлите имат фалшив имейл на подател.

Когато жертвата отвори скрипта за зареждане, тя автоматично изтегля друг злонамерен ZIP файл от контролиран от хакер хостинг сървър на машината на жертвата. След това скриптът надува файла и изпълнява полезния товар. Полезният товар може да бъде GO вариант на Laplas Clipper malwa или MortalKombat Ransomware.

Скриптът за зареждане изпълнява разгърнатия полезен товар като процес на машината на жертвата и след това премахва всички изтеглени и изпуснати опасни файлове, за да елиминира маркерите за инфекция.

Заплашващите възможности на MortalKombat Ransomware

Малко се знае за създателите на MortalKombat Ransomware или тяхната оперативна стратегия. Както името на рансъмуера, така и тапетът, който той пуска в системата на жертвата, е намигване към популярния медиен франчайз Mortal Kombat, който включва поредица от видео игри и филми.

MortalKombat има способността да криптира широк набор от файлове на машината на жертвата, включително системни, приложения, бази данни, резервни копия, файлове на виртуална машина, както и файлове на отдалечени местоположения, картографирани като логически дискове. Той пуска бележка за откуп и променя тапета на машината на жертвата след шифроване на файловете. Въпреки това, MortalKombat не показва никакво поведение на чистачките или изтрива Shadow Volume Copies на машината на жертвата. Вместо това поврежда Windows Explorer, премахва папки и приложения от стартирането на Windows и деактивира командния прозорец Run, което прави машината неработеща.

Киберпрестъпниците зад заплахата използват qTOX, популярно приложение за незабавни съобщения, достъпно в GitHub, за да комуникират с жертвите си. Освен това те предоставят имейл адрес - „hack3dlikeapro[at]proton[.]me,“ като алтернативно средство за комуникация.

Като цяло MortalKombat е силно заплашителен ransomware, който може да причини сериозни щети на машините на жертвите и да доведе до загуба на ценни данни. Трябва да останете бдителни срещу подобни заплахи и да предприемете проактивни мерки за защита на системите срещу атаки на ransomware.