MortalKombat Ransomware

Alates 2022. aasta detsembrist on tundmatu ohustaja kasutanud ohvritelt krüptoraha kogumiseks kaht suhteliselt uut ähvardavat programmi – MortalKombat Ransomware ja Laplas Clipperi pahavara GO varianti. Ründaja on otsinud Internetti haavatavaid masinaid avatud kaugtöölaua protokolli (RDP) pordiga 3389, mida nad seejärel kasutavad ohvri süsteemile volitamata juurdepääsu saamiseks. Rünnaku hõlbustamiseks kasutas ründaja ühte nende allalaadimisserveritest, mis majutab ka tarkvara MortalKombat Ransomware. Üksikasjad kasutatud pahavara tööriistade ja ründekampaania kohta avaldati ründevarauurijate aruandes.

MortalKombat Ransomware koodi, klassi nime ja registri võtmestringe analüüsides jõudsid teadlased suure kindlusega järeldusele, et oht kuulub Xoristi lunavara perekonda. See lunavara tüvi on tuntud selle poolest, et kasutab ohvri failide krüptimiseks tugevaid krüpteerimisalgoritme ja küsib seejärel dekrüpteerimisvõtme eest lunaraha.

Mitmeastmeline nakkusahel, mis juurutab MortalKombati lunavara

Rünnakukampaania algab tavaliselt andmepüügimeiliga. Ründajad saadavad tavaliselt meili teel kas pahavara või lunavara ning seejärel jätkavad oma jälgede varjamist, kustutades kõik tõendid rikutud failide kohta. See muudab infoseci teadlastel operatsiooni analüüsimise keeruliseks.

Esialgne andmepüügimeil sisaldab ohustatud ZIP-faili, millel on BAT-laaduri skript. Peibutusmeil esitatakse nii, nagu pärineks seaduslikust globaalsest krüptovaluuta lüüsist CoinPayments. Loomulikult ei ole üksus nende meilisõnumitega kuidagi seotud.
Lisaks on nende sihtmärkide petmiseks e-kirjadel võltsitud saatja e-kiri.

Kui ohver avab laadimisskripti, laadib see ründaja juhitavast hostiserverist automaatselt alla teise pahatahtliku ZIP-faili ohvri masinasse. Seejärel suurendab skript faili ja käivitab kasuliku koormuse. Kasulik koormus võib olla kas Laplas Clipper malwa GO variant või MortalKombat Ransomware.

Laadimiskript käivitab juurutatud kasuliku koormuse ohvri masinas protsessina ja eemaldab seejärel kõik allalaaditud ja maha visatud ohtlikud failid, et kõrvaldada nakkusmarkerid.

MortalKombati lunavara ähvardavad võimalused

MortalKombat Ransomware loojate või nende tegevusstrateegia kohta on vähe teada. Nii lunavara nimi kui ka tapeet, mille see ohvri süsteemile laseb, viitavad populaarsele Mortal Kombati meediafrantsiisile, mis hõlmab mitmeid videomänge ja filme.

MortalKombatil on võimalus krüpteerida laias valikus ohvri masinas olevaid faile, sealhulgas süsteemi, rakendusi, andmebaase, varukoopiaid, virtuaalmasina faile, aga ka loogiliste draividena kaardistatud kaugkohtades olevaid faile. See jätab pärast failide krüptimist maha lunaraha ja muudab ohvri masina taustapilti. Siiski ei kuva MortalKombat puhastuskäitumist ega kustuta ohvri masinas Shadow Volume koopiaid. Selle asemel rikub see Windows Exploreri, eemaldab Windowsi käivitamisel kaustad ja rakendused ning keelab käsuakna Käivita, muutes masina töövõimetuks.

Ohu taga olevad küberkurjategijad kasutavad oma ohvritega suhtlemiseks GitHubis saadaolevat populaarset kiirsuhtlusrakendust qTOX. Lisaks pakuvad nad alternatiivse suhtlusvahendina e-posti aadressi "hack3dlikeapro[at]proton[.]me".

Üldiselt on MortalKombat väga ohtlik lunavara, mis võib ohvrite masinaid tõsiselt kahjustada ja kaasa tuua väärtuslike andmete kadumise. Peaksite olema selliste ohtude suhtes valvsad ja võtma ennetavaid meetmeid, et kaitsta süsteeme lunavararünnakute eest.