MortalKombat Ransomware

Siden december 2022 har en uidentificeret trusselsaktør brugt to relativt nye truende programmer - MortalKombat Ransomware og en GO-variant af Laplas Clipper malware - til at indsamle kryptovaluta fra deres ofre. Angriberen har scannet internettet for sårbare maskiner med en åben RDP (Remote Desktop Protocol) port 3389, som de derefter bruger til at få uautoriseret adgang til ofrets system. For at lette dette angreb brugte angriberen en af deres downloadservere, som også er vært for MortalKombat Ransomware. Detaljer om de brugte malware-værktøjer og angrebskampagnen blev offentliggjort i en rapport fra malware-forskere.

Efter at have analyseret koden, klassenavnet og registreringsnøglestrengene for MortalKombat Ransomware konkluderede forskerne med stor tillid til, at truslen tilhører Xorist- familien af ransomware. Denne ransomware-stamme er kendt for at bruge stærke krypteringsalgoritmer til at kryptere ofrets filer og derefter bede om løsesum i bytte for dekrypteringsnøglen.

Multi-Stage Infection Chain, der implementerer MortalKombat Ransomware

Angrebskampagnen begynder typisk med en phishing-e-mail. Angriberne leverer normalt enten malware eller ransomware via e-mailen og fortsætter derefter med at dække deres spor ved at slette eventuelle beviser på de korrupte filer. Dette gør det svært for infosec-forskere at analysere operationen.

Den første phishing-e-mail indeholder en kompromitteret ZIP-fil, der har et BAT-indlæserscript. Lokkemailen præsenteres, som om den kommer fra den legitime globale kryptovaluta-gateway CoinPayments. Enheden er naturligvis på ingen måde forbundet med disse e-mail-meddelelser.
Derudover, for yderligere at narre deres mål, har e-mails en forfalsket afsender-e-mail.

Når offeret åbner loader-scriptet, downloader det automatisk en anden ondsindet ZIP-fil fra en angriberstyret hostingserver til offerets maskine. Scriptet puster derefter filen op og udfører nyttelasten. Nyttelasten kan enten være GO-varianten af Laplas Clipper malwa eller MortalKombat Ransomware.

Indlæserscriptet kører den installerede nyttelast som en proces på offerets maskine og fjerner derefter alle downloadede og tabte usikre filer for at eliminere infektionsmarkører.

De truende egenskaber ved MortalKombat Ransomware

Lidt er kendt om MortalKombat Ransomware-skaberne eller deres operationelle strategi. Både navnet på ransomwaren og tapetet, som det smider på ofrets system, er et nik til den populære Mortal Kombat-mediefranchise, som omfatter en række videospil og film.

MortalKombat har evnen til at kryptere en lang række filer på ofrets maskine, herunder system, applikation, database, backup, virtuelle maskinfiler samt filer på fjernplaceringer kortlagt som logiske drev. Den slipper en løsesumseddel og ændrer tapetet på ofrets maskine efter at have krypteret filerne. MortalKombat viser dog ikke nogen viskeradfærd eller sletter Shadow Volume Copies på offerets maskine. I stedet ødelægger det Windows Stifinder, fjerner mapper og applikationer fra Windows-starten og deaktiverer kommandovinduet Kør, hvilket gør maskinen ubrugelig.

De cyberkriminelle bag truslen bruger qTOX, en populær instant messaging-applikation, der er tilgængelig på GitHub, til at kommunikere med deres ofre. Derudover giver de en e-mailadresse - 'hack3dlikeapro[at]proton[.]me,' som et alternativt kommunikationsmiddel.

Overordnet set er MortalKombat en stærkt truende ransomware, der kan forårsage alvorlig skade på ofrenes maskiner og resultere i tab af værdifulde data. Du bør forblive på vagt over for sådanne trusler og tage proaktive foranstaltninger for at sikre systemer mod ransomware-angreb.