MortalKombat Ransomware

Από τον Δεκέμβριο του 2022, ένας άγνωστος παράγοντας απειλών χρησιμοποιεί δύο σχετικά νέα απειλητικά προγράμματα - το MortalKombat Ransomware και μια παραλλαγή GO του κακόβουλου λογισμικού Laplas Clipper - για τη συλλογή κρυπτονομισμάτων από τα θύματά του. Ο εισβολέας σαρώνει το Διαδίκτυο για ευάλωτα μηχανήματα με εκτεθειμένη θύρα πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP) 3389, την οποία στη συνέχεια χρησιμοποιούν για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στο σύστημα του θύματος. Για να διευκολύνει αυτήν την επίθεση, ο εισβολέας χρησιμοποίησε έναν από τους διακομιστές λήψης του, ο οποίος φιλοξενεί επίσης το MortalKombat Ransomware. Λεπτομέρειες σχετικά με τα χρησιμοποιούμενα εργαλεία κακόβουλου λογισμικού και την εκστρατεία επίθεσης δημοσιεύθηκαν σε μια αναφορά από ερευνητές κακόβουλου λογισμικού.

Μετά την ανάλυση του κώδικα, του ονόματος κλάσης και των συμβολοσειρών κλειδιών μητρώου του MortalKombat Ransomware, οι ερευνητές κατέληξαν με μεγάλη σιγουριά ότι η απειλή ανήκει στην οικογένεια ransomware Xorist . Αυτό το στέλεχος ransomware είναι γνωστό ότι χρησιμοποιεί ισχυρούς αλγόριθμους κρυπτογράφησης για την κρυπτογράφηση των αρχείων του θύματος και στη συνέχεια ζητά πληρωμή λύτρων σε αντάλλαγμα για το κλειδί αποκρυπτογράφησης.

Η αλυσίδα μόλυνσης πολλαπλών σταδίων που αναπτύσσει το MortalKombat Ransomware

Η εκστρατεία επίθεσης συνήθως ξεκινά με ένα ηλεκτρονικό "ψάρεμα" (phishing). Οι εισβολείς συνήθως παραδίδουν είτε κακόβουλο λογισμικό είτε ransomware μέσω του email και στη συνέχεια προχωρούν στην κάλυψη των ιχνών τους διαγράφοντας τυχόν στοιχεία των κατεστραμμένων αρχείων. Αυτό καθιστά δύσκολο για τους ερευνητές του infosec να αναλύσουν την επέμβαση.

Το αρχικό μήνυμα ηλεκτρονικού ψαρέματος περιέχει ένα παραβιασμένο αρχείο ZIP που έχει ένα σενάριο φόρτωσης BAT. Το δέλεαρ email παρουσιάζεται σαν να προέρχεται από τη νόμιμη παγκόσμια πύλη κρυπτονομισμάτων CoinPayments. Φυσικά, η οντότητα δεν είναι σε καμία περίπτωση συνδεδεμένη με αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου.
Επιπλέον, για να ξεγελάσουν περαιτέρω τους στόχους τους, τα μηνύματα ηλεκτρονικού ταχυδρομείου έχουν ένα πλαστό email αποστολέα.

Όταν το θύμα ανοίγει το σενάριο φόρτωσης, κατεβάζει αυτόματα ένα άλλο κακόβουλο αρχείο ZIP από έναν διακομιστή φιλοξενίας που ελέγχεται από τον εισβολέα στον υπολογιστή του θύματος. Στη συνέχεια, το σενάριο διογκώνει το αρχείο και εκτελεί το ωφέλιμο φορτίο. Το ωφέλιμο φορτίο μπορεί να είναι είτε η παραλλαγή GO του Laplas Clipper malwa είτε το MortalKombat Ransomware.

Το σενάριο φόρτωσης εκτελεί το αναπτυγμένο ωφέλιμο φορτίο ως διαδικασία στον υπολογιστή του θύματος και, στη συνέχεια, αφαιρεί τυχόν μη ασφαλή αρχεία που έχουν ληφθεί και απορριφθεί για να εξαλείψει τους δείκτες μόλυνσης.

Οι Απειλητικές Δυνατότητες του MortalKombat Ransomware

Λίγα είναι γνωστά για τους δημιουργούς του MortalKombat Ransomware ή για την επιχειρησιακή στρατηγική τους. Τόσο το όνομα του ransomware όσο και η ταπετσαρία που ρίχνει στο σύστημα του θύματος είναι ένα νεύμα για το δημοφιλές franchise πολυμέσων Mortal Kombat, το οποίο περιλαμβάνει μια σειρά από βιντεοπαιχνίδια και ταινίες.

Το MortalKombat έχει τη δυνατότητα να κρυπτογραφεί ένα ευρύ φάσμα αρχείων στο μηχάνημα του θύματος, συμπεριλαμβανομένου συστήματος, εφαρμογής, βάσης δεδομένων, αντιγράφων ασφαλείας, αρχεία εικονικής μηχανής, καθώς και αρχεία σε απομακρυσμένες τοποθεσίες που έχουν αντιστοιχιστεί ως λογικές μονάδες δίσκου. Ρίχνει ένα σημείωμα λύτρων και αλλάζει την ταπετσαρία στο μηχάνημα του θύματος μετά την κρυπτογράφηση των αρχείων. Ωστόσο, το MortalKombat δεν εμφανίζει καμία συμπεριφορά υαλοκαθαριστήρα ούτε διαγράφει τα Σκιώδη αντίγραφα τόμου στο μηχάνημα του θύματος. Αντίθετα, καταστρέφει την Εξερεύνηση των Windows, αφαιρεί φακέλους και εφαρμογές από την εκκίνηση των Windows και απενεργοποιεί το παράθυρο εντολών Εκτέλεση, καθιστώντας το μηχάνημα μη λειτουργικό.

Οι κυβερνοεγκληματίες πίσω από την απειλή χρησιμοποιούν το qTOX, μια δημοφιλή εφαρμογή άμεσων μηνυμάτων που είναι διαθέσιμη στο GitHub, για να επικοινωνούν με τα θύματά τους. Επιπλέον, παρέχουν μια διεύθυνση email - «hack3dlikeapro[at]proton[.]me», ως εναλλακτικό μέσο επικοινωνίας.

Συνολικά, το MortalKombat είναι ένα εξαιρετικά απειλητικό ransomware που μπορεί να προκαλέσει σοβαρή ζημιά στα μηχανήματα των θυμάτων και να οδηγήσει στην απώλεια πολύτιμων δεδομένων. Θα πρέπει να παραμείνετε σε επαγρύπνηση έναντι τέτοιων απειλών και να λάβετε προληπτικά μέτρα για την ασφάλεια των συστημάτων από επιθέσεις ransomware.