MortalKombat Ransomware

מאז דצמבר 2022, שחקן איומים לא מזוהה משתמש בשתי תוכנות מאיימות חדשות יחסית - MortalKombat Ransomware וגרסה GO של תוכנת זדונית Laplas Clipper - כדי לאסוף מטבעות קריפטוגרפיים מהקורבנות שלהם. התוקף סרק את האינטרנט לאיתור מכונות פגיעות עם יציאת פרוטוקול שולחן עבודה מרוחק (RDP) חשוף 3389, שבה הם משתמשים כדי לקבל גישה לא מורשית למערכת של הקורבן. כדי להקל על ההתקפה הזו, התוקף השתמש באחד משרתי ההורדות שלו, המארח גם את MortalKombat Ransomware. פרטים על כלי התוכנה המשמשים ומסע התקיפה פורסמו בדוח של חוקרי תוכנות זדוניות.

לאחר ניתוח הקוד, שם המחלקה ומחרוזות מפתח הרישום של MortalKombat Ransomware, החוקרים הסיקו בביטחון רב שהאיום שייך למשפחת Xorist של תוכנות הכופר. זן תוכנת הכופר הזה ידוע בשימוש באלגוריתמי הצפנה חזקים כדי להצפין את הקבצים של הקורבן ולאחר מכן לבקש תשלום כופר בתמורה למפתח הפענוח.

שרשרת ההדבקה הרב-שלבית פריסת תוכנת הכופר MortalKombat

מסע התקיפה מתחיל בדרך כלל בדוא"ל דיוג. התוקפים בדרך כלל מספקים תוכנות זדוניות או תוכנות כופר דרך האימייל ואז ממשיכים לכסות את עקבותיהם על ידי מחיקת כל עדות לקבצים הפגומים. זה מקשה על חוקרי infosec לנתח את הפעולה.

הודעת ההתחזות הראשונית מכילה קובץ ZIP שנפרץ שיש לו סקריפט לטעינת BAT. דוא"ל הפיתוי מוצג כאילו הגיע משער המטבעות הקריפטו הגלובלי הלגיטימי CoinPayments. כמובן, הישות אינה קשורה בשום אופן להודעות האימייל הללו.
בנוסף, כדי לשטות עוד יותר במטרות שלהם, למיילים יש אימייל של שולח מזויף.

כאשר הקורבן פותח את סקריפט הטוען, הוא מוריד אוטומטית קובץ ZIP זדוני נוסף משרת אירוח הנשלט על ידי תוקף אל המחשב של הקורבן. לאחר מכן הסקריפט מנפח את הקובץ ומבצע את המטען. המטען יכול להיות גרסה GO של Laplas Clipper malwa או MortalKombat Ransomware.

סקריפט הטוען מריץ את המטען שנפרס כתהליך במחשב של הקורבן ולאחר מכן מסיר את כל הקבצים הלא בטוחים שהורדת והושמטה כדי לחסל סמני זיהום.

היכולות המאיימות של תוכנת הכופר MortalKombat

מעט ידוע על יוצרי MortalKombat Ransomware או האסטרטגיה התפעולית שלהם. גם השם של תוכנת הכופר וגם הטפט שהיא מפילה על המערכת של הקורבן הם קריצה לזכיינית המדיה הפופולרית Mortal Kombat, הכוללת סדרה של משחקי וידאו וסרטים.

ל- MortalKombat יש את היכולת להצפין מגוון רחב של קבצים במחשב של הקורבן, כולל מערכת, אפליקציה, מסד נתונים, גיבוי, קבצי מחשב וירטואלי, כמו גם קבצים במיקומים מרוחקים הממופים ככוננים לוגיים. זה מפיל פתק כופר ומשנה את הטפט במכשיר של הקורבן לאחר הצפנת הקבצים. עם זאת, MortalKombat אינו מציג שום התנהגות מגב או מוחק את עותקי ה-Shadow Volume במכשיר של הקורבן. במקום זאת, הוא משחית את סייר Windows, מסיר תיקיות ויישומים מההפעלה של Windows ומשבית את חלון פקודת ההפעלה, מה שהופך את המכשיר לבלתי פעיל.

פושעי הסייבר שמאחורי האיום משתמשים ב-qTOX, אפליקציית הודעות מיידיות פופולריות הזמינה ב-GitHub, כדי לתקשר עם הקורבנות שלהם. בנוסף, הם מספקים כתובת אימייל - 'hack3dlikeapro[at]proton[.]me, כאמצעי תקשורת חלופי.

בסך הכל, MortalKombat היא תוכנת כופר מאיימת ביותר שעלולה לגרום לנזק חמור למכונות של קורבנות ולגרום לאובדן נתונים יקרי ערך. עליך לשמור על ערנות מפני איומים כאלה ולנקוט באמצעים יזומים כדי לאבטח מערכות מפני התקפות של תוכנות כופר.