باج افزار MortalKombat

از دسامبر 2022، یک عامل تهدید ناشناس از دو برنامه تهدید کننده نسبتاً جدید - باج افزار MortalKombat و یک نوع بدافزار GO Laplas Clipper - برای جمع آوری ارزهای دیجیتال از قربانیان خود استفاده کرده است. مهاجم اینترنت را برای یافتن ماشین‌های آسیب‌پذیر با پورت 3389 پروتکل دسکتاپ از راه دور (RDP) اسکن می‌کند، که سپس از آن برای دسترسی غیرمجاز به سیستم قربانی استفاده می‌کند. برای تسهیل این حمله، مهاجم از یکی از سرورهای دانلود خود استفاده کرد که میزبان باج افزار MortalKombat نیز می باشد. جزئیات مربوط به ابزارهای بدافزار مورد استفاده و کمپین حمله در گزارشی توسط محققان بدافزار منتشر شد.

پس از تجزیه و تحلیل کد، نام کلاس و رشته های کلید رجیستری باج افزار MortalKombat، محققان با اطمینان بالا به این نتیجه رسیدند که این تهدید متعلق به خانواده باج افزار Xorist است. این نوع باج‌افزار به دلیل استفاده از الگوریتم‌های رمزگذاری قوی برای رمزگذاری فایل‌های قربانی و سپس درخواست باج در ازای کلید رمزگشایی شناخته شده است.

زنجیره عفونت چند مرحله ای که باج افزار MortalKombat را به کار می گیرد

کمپین حمله معمولاً با یک ایمیل فیشینگ شروع می شود. مهاجمان معمولاً بدافزار یا باج‌افزار را از طریق ایمیل ارسال می‌کنند و سپس با حذف هرگونه شواهدی از فایل‌های خراب، ردیابی‌های خود را پوشش می‌دهند. این امر، تحلیل این عملیات را برای محققان infosec دشوار می کند.

ایمیل فیشینگ اولیه حاوی یک فایل ZIP در معرض خطر است که دارای اسکریپت بارگیری BAT است. ایمیل فریبنده به گونه ای ارائه می شود که گویی از دروازه قانونی ارزهای دیجیتال جهانی CoinPayments می آید. البته این نهاد به هیچ وجه به این پیام های ایمیل متصل نیست.
علاوه بر این، برای فریب دادن بیشتر اهداف خود، ایمیل ها دارای یک ایمیل فرستنده جعلی هستند.

هنگامی که قربانی اسکریپت لودر را باز می کند، به طور خودکار یک فایل ZIP مخرب دیگر را از سرور میزبان تحت کنترل مهاجم بر روی دستگاه قربانی دانلود می کند. سپس اسکریپت فایل را باد کرده و بارگذاری را اجرا می کند. محموله می‌تواند نوع GO Malwa Laplas Clipper یا باج‌افزار MortalKombat باشد.

اسکریپت لودر بار مستقر شده را به عنوان یک فرآیند در دستگاه قربانی اجرا می کند و سپس هر فایل ناامن دانلود شده و رها شده را برای حذف نشانگرهای عفونت حذف می کند.

قابلیت های تهدید آمیز باج افزار MortalKombat

اطلاعات کمی در مورد سازندگان باج افزار MortalKombat یا استراتژی عملیاتی آنها وجود دارد. هم نام باج‌افزار و هم والپیپری که روی سیستم قربانی می‌اندازد، اشاره‌ای به فرانچایز رسانه‌ای محبوب Mortal Kombat است که شامل مجموعه‌ای از بازی‌های ویدیویی و فیلم می‌شود.

MortalKombat این توانایی را دارد که طیف وسیعی از فایل‌ها را روی ماشین قربانی رمزگذاری کند، از جمله سیستم، برنامه، پایگاه داده، پشتیبان‌گیری، فایل‌های ماشین مجازی، و همچنین فایل‌های موجود در مکان‌های راه دور که به عنوان درایوهای منطقی نقشه‌برداری شده‌اند. یک یادداشت باج می‌اندازد و پس از رمزگذاری فایل‌ها، تصویر زمینه دستگاه قربانی را تغییر می‌دهد. با این حال، MortalKombat هیچ رفتار پاک‌کنی را نشان نمی‌دهد یا کپی‌های حجم سایه را روی دستگاه قربانی حذف نمی‌کند. در عوض، Windows Explorer را خراب می‌کند، پوشه‌ها و برنامه‌ها را از راه‌اندازی ویندوز حذف می‌کند، و پنجره دستور Run را غیرفعال می‌کند و دستگاه را غیرقابل کار می‌کند.

مجرمان سایبری پشت این تهدید از qTOX، یک برنامه پیام رسانی فوری محبوب موجود در GitHub برای برقراری ارتباط با قربانیان خود استفاده می کنند. علاوه بر این، آنها یک آدرس ایمیل - 'hack3dlikeapro[at]proton[.]me' را به عنوان یک وسیله ارتباطی جایگزین ارائه می دهند.

به طور کلی، MortalKombat یک باج افزار بسیار تهدید کننده است که می تواند به ماشین های قربانیان آسیب جدی وارد کند و منجر به از دست رفتن داده های ارزشمند شود. شما باید در برابر چنین تهدیداتی هوشیار باشید و اقدامات پیشگیرانه ای برای ایمن سازی سیستم ها در برابر حملات باج افزار انجام دهید.