MortalKombat Ransomware
Des del desembre de 2022, un actor d'amenaces no identificat ha estat utilitzant dos programes amenaçadors relativament nous: el MortalKombat Ransomware i una variant GO del programari maliciós Laplas Clipper , per recollir criptomoneda de les seves víctimes. L'atacant ha estat escanejant Internet a la recerca de màquines vulnerables amb un port 3389 de protocol d'escriptori remot (RDP) exposat, que després utilitzen per obtenir accés no autoritzat al sistema de la víctima. Per facilitar aquest atac, l'atacant va utilitzar un dels seus servidors de descàrrega, que també allotja el MortalKombat Ransomware. Els detalls sobre les eines de programari maliciós utilitzades i la campanya d'atac es van publicar en un informe dels investigadors de programari maliciós.
Després d'analitzar el codi, el nom de la classe i les cadenes de claus del registre del ransomware MortalKombat, els investigadors van concloure amb gran confiança que l'amenaça pertany a la família de ransomware Xorist . Aquesta varietat de ransomware és coneguda per utilitzar algorismes de xifratge forts per xifrar els fitxers de la víctima i després demanar un pagament de rescat a canvi de la clau de desxifrat.
La cadena d'infecció en diverses etapes que desplega el ransomware MortalKombat
La campanya d'atac normalment comença amb un correu electrònic de pesca. Els atacants solen lliurar programari maliciós o ransomware a través del correu electrònic i després procedeixen a cobrir les seves pistes eliminant qualsevol evidència dels fitxers danyats. Això dificulta que els investigadors d'infosec puguin analitzar l'operació.
El correu electrònic de pesca inicial conté un fitxer ZIP compromès que té un script de càrrega BAT. El correu electrònic d'atracció es presenta com si provingués de la passarel·la de criptomoneda legítima CoinPayments. Per descomptat, l'entitat no està connectada de cap manera amb aquests missatges de correu electrònic.
A més, per enganyar encara més els seus objectius, els correus electrònics tenen un correu electrònic del remitent falsificat.
Quan la víctima obre l'script del carregador, baixa automàticament un altre fitxer ZIP maliciós d'un servidor d'allotjament controlat per l'atacant a la màquina de la víctima. A continuació, l'script infla el fitxer i executa la càrrega útil. La càrrega útil pot ser la variant GO de Laplas Clipper malwa o el MortalKombat Ransomware.
L'script del carregador executa la càrrega útil desplegada com un procés a la màquina de la víctima i, a continuació, elimina els fitxers no segurs baixats i deixats caure per eliminar els marcadors d'infecció.
Les capacitats amenaçadores del ransomware MortalKombat
Poc se sap sobre els creadors de MortalKombat Ransomware o la seva estratègia operativa. Tant el nom del ransomware com el fons de pantalla que deixa caure al sistema de la víctima són un cop d'ull a la popular franquícia de mitjans Mortal Kombat, que inclou una sèrie de videojocs i pel·lícules.
MortalKombat té la capacitat de xifrar una àmplia gamma de fitxers a la màquina de la víctima, com ara el sistema, l'aplicació, la base de dades, la còpia de seguretat, els fitxers de la màquina virtual, així com els fitxers d'ubicacions remotes assignats com a unitats lògiques. Deixa caure una nota de rescat i canvia el fons de pantalla a la màquina de la víctima després de xifrar els fitxers. Tanmateix, MortalKombat no mostra cap comportament d'esborrador ni elimina les còpies del volum d'ombra a la màquina de la víctima. En lloc d'això, corromp l'Explorador de Windows, elimina carpetes i aplicacions de l'inici de Windows i desactiva la finestra d'ordres Executar, fent que la màquina sigui inoperable.
Els cibercriminals darrere de l'amenaça utilitzen qTOX, una popular aplicació de missatgeria instantània disponible a GitHub, per comunicar-se amb les seves víctimes. A més, proporcionen una adreça de correu electrònic: "hack3dlikeapro[at]proton[.]me", com a mitjà de comunicació alternatiu.
En general, MortalKombat és un ransomware molt amenaçador que pot causar danys greus a les màquines de les víctimes i provocar la pèrdua de dades valuoses. Hauríeu de mantenir-vos alerta davant d'aquestes amenaces i prendre mesures proactives per protegir els sistemes contra atacs de ransomware.
