MortalKombat Ransomware

Od prosince 2022 neznámý aktér hrozby používá dva relativně nové ohrožující programy – MortalKombat Ransomware a GO variantu malwaru Laplas Clipper – ke shromažďování kryptoměn od svých obětí. Útočník prohledával internet a vyhledával zranitelné stroje s odhaleným portem protokolu vzdálené plochy (RDP) 3389, který pak používají k získání neoprávněného přístupu do systému oběti. K usnadnění tohoto útoku použil útočník jeden z jejich stahovacích serverů, který také hostí MortalKombat Ransomware. Podrobnosti o používaných malwarových nástrojích a útočné kampani byly zveřejněny ve zprávě výzkumníků malwaru.

Po analýze kódu, názvu třídy a řetězců klíčů registru MortalKombat Ransomware vědci s velkou jistotou dospěli k závěru, že hrozba patří do rodiny ransomwaru Xorist . Tento kmen ransomwaru je známý tím, že používá silné šifrovací algoritmy k zašifrování souborů oběti a poté požaduje platbu výkupného výměnou za dešifrovací klíč.

Vícefázový infekční řetězec nasazení ransomwaru MortalKombat

Útočná kampaň obvykle začíná phishingovým e-mailem. Útočníci obvykle doručují buď malware nebo ransomware prostřednictvím e-mailu a poté pokračují v zakrývání svých stop odstraněním všech důkazů o poškozených souborech. To ztěžuje výzkumníkům společnosti Infosec analýzu operace.

Počáteční phishingový e-mail obsahuje kompromitovaný soubor ZIP, který obsahuje skript pro zavádění BAT. Návnadový e-mail je prezentován, jako by pocházel z legitimní globální kryptoměnové brány CoinPayments. Entita samozřejmě není s těmito e-mailovými zprávami nijak spojena.
Navíc, aby dále oklamali své cíle, e-maily obsahují falešný e-mail odesílatele.

Když oběť otevře zaváděcí skript, automaticky stáhne další škodlivý soubor ZIP z hostitelského serveru kontrolovaného útočníkem do počítače oběti. Skript pak nafoukne soubor a spustí užitečné zatížení. Užitečné zatížení může být buď GO varianta Laplas Clipper malwa nebo MortalKombat Ransomware.

Skript zavaděče spustí nasazenou užitečnou část jako proces na počítači oběti a poté odstraní všechny stažené a zahozené nebezpečné soubory, aby se odstranily značky infekce.

Ohrožující schopnosti ransomwaru MortalKombat

O tvůrcích MortalKombat Ransomware nebo jejich operační strategii je známo jen málo. Jak název ransomwaru, tak tapeta, kterou umístí na systém oběti, je kývnutím na populární mediální franšízu Mortal Kombat, která zahrnuje řadu videoher a filmů.

MortalKombat má schopnost šifrovat širokou škálu souborů na počítači oběti, včetně systému, aplikace, databáze, zálohy, souborů virtuálního počítače a také souborů na vzdálených místech mapovaných jako logické disky. Po zašifrování souborů zahodí výkupné a změní tapetu na počítači oběti. MortalKombat však nezobrazuje žádné chování stěračů ani neodstraňuje stínové kopie svazku na počítači oběti. Místo toho poškodí Průzkumníka Windows, odebere složky a aplikace ze spouštění Windows a deaktivuje příkazové okno Spustit, čímž se počítač stane nefunkčním.

Kyberzločinci za hrozbou používají ke komunikaci se svými oběťmi qTOX, populární aplikaci pro rychlé zasílání zpráv dostupnou na GitHubu. Kromě toho poskytují e-mailovou adresu – „hack3dlikeapro[at]proton[.]me,“ jako alternativní způsob komunikace.

Celkově je MortalKombat vysoce nebezpečný ransomware, který může způsobit vážné poškození strojů obětí a vést ke ztrátě cenných dat. Před těmito hrozbami byste měli zůstat ostražití a přijmout proaktivní opatření k zabezpečení systémů proti útokům ransomwaru.