MortalKombat Ransomware

Joulukuusta 2022 lähtien tuntematon uhkatoimija on käyttänyt kahta suhteellisen uutta uhkaavaa ohjelmaa - MortalKombat Ransomwarea ja Laplas Clipper -haittaohjelman GO-varianttia kerätäkseen kryptovaluuttoja uhreiltaan. Hyökkääjä on etsinyt Internetistä haavoittuvia koneita, joissa on paljastettu Remote Desktop Protocol (RDP) -portti 3389, jota he sitten käyttävät päästäkseen luvattomasti uhrin järjestelmään. Tämän hyökkäyksen helpottamiseksi hyökkääjä käytti yhtä heidän latauspalvelimistaan, joka myös isännöi MortalKombat Ransomwarea. Tietoja käytetyistä haittaohjelmatyökaluista ja hyökkäyskampanjasta julkaistiin haittaohjelmatutkijoiden raportissa.

Analysoidessaan MortalKombat Ransomwaren koodia, luokan nimeä ja rekisteriavainmerkkijonoa tutkijat päättelivät suurella varmuudella, että uhka kuuluu Xorist -lunnasohjelmien perheeseen. Tämä kiristysohjelmakanta tunnetaan siitä, että se käyttää vahvoja salausalgoritmeja salatakseen uhrin tiedostot ja pyytää sitten lunnaita vastineeksi salauksen purkuavaimesta.

Monivaiheinen infektioketju, joka ottaa käyttöön MortalKombat Ransomwaren

Hyökkäyskampanja alkaa yleensä tietojenkalasteluviestillä. Hyökkääjät toimittavat yleensä joko haittaohjelmia tai kiristysohjelmia sähköpostitse ja sitten peittävät jälkensä poistamalla todisteet vioittuneista tiedostoista. Tämä tekee infosec-tutkijoille vaikeaksi analysoida toimintaa.

Alkuperäinen tietojenkalasteluviesti sisältää vaarantuneen ZIP-tiedoston, jossa on BAT-latausskripti. Viestisähköposti esitetään ikään kuin se olisi peräisin lailliselta globaalilta kryptovaluuttayhdyskäytävältä CoinPayments. Tietenkin kokonaisuus ei ole millään tavalla yhteydessä näihin sähköpostiviesteihin.
Lisäksi sähköposteissa on huijattu lähettäjän sähköposti huijatakseen tavoitteitaan edelleen.

Kun uhri avaa latausskriptin, se lataa automaattisesti toisen haitallisen ZIP-tiedoston hyökkääjän ohjaamasta isännöintipalvelimesta uhrin koneelle. Skripti lisää sitten tiedoston ja suorittaa hyötykuorman. Hyötykuorma voi olla joko Laplas Clipper malwan GO-versio tai MortalKombat Ransomware.

Latausskripti suorittaa käyttöönotetun hyötykuorman prosessina uhrin koneella ja poistaa sitten kaikki ladatut ja pudotetut vaaralliset tiedostot tartuntamerkkien poistamiseksi.

MortalKombat Ransomwaren uhkaavat ominaisuudet

MortalKombat Ransomwaren luojista tai heidän toimintastrategiastaan tiedetään vähän. Sekä kiristysohjelman nimi että sen uhrin järjestelmään pudottava taustakuva viittaavat suosittuun Mortal Kombat -mediasarjaan, joka sisältää sarjan videopelejä ja elokuvia.

MortalKombat pystyy salaamaan monenlaisia tiedostoja uhrin koneella, mukaan lukien järjestelmät, sovellukset, tietokannat, varmuuskopiot, virtuaalikoneen tiedostot sekä tiedostot etäsijainneista, jotka on kartoitettu loogisiksi asemiksi. Se pudottaa lunnaat ja vaihtaa taustakuvan uhrin koneeseen salaamalla tiedostot. MortalKombat ei kuitenkaan näytä pyyhkimen toimintaa tai poista varjokopioita uhrin koneelta. Sen sijaan se turmelee Windowsin Resurssienhallintaa, poistaa kansiot ja sovellukset Windowsin käynnistyksestä ja poistaa käytöstä Suorita-komentoikkunan, mikä tekee koneesta käyttökelvottoman.

Uhan takana olevat kyberrikolliset käyttävät qTOX:ia, suosittua GitHubissa saatavilla olevaa pikaviestisovellusta kommunikoidakseen uhriensa kanssa. Lisäksi he tarjoavat vaihtoehtoisena viestintäkeinona sähköpostiosoitteen - "hack3dlikeapro[at]proton[.]me".

Kaiken kaikkiaan MortalKombat on erittäin uhkaava kiristysohjelma, joka voi aiheuttaa vakavia vahinkoja uhrien koneille ja johtaa arvokkaan tiedon menettämiseen. Sinun tulee pysyä valppaana tällaisia uhkia vastaan ja ryhtyä ennakoiviin toimiin suojataksesi järjestelmät lunnasohjelmahyökkäyksiä vastaan.