MortalKombat Ransomware

Od prosinca 2022. neidentificirani akter prijetnje koristi dva relativno nova prijeteća programa - MortalKombat Ransomware i GO varijantu zlonamjernog softvera Laplas Clipper - za prikupljanje kriptovalute od svojih žrtava. Napadač je skenirao internet u potrazi za ranjivim strojevima s otvorenim portom 3389 protokola udaljene radne površine (RDP), koji zatim koriste za neovlašteni pristup žrtvinom sustavu. Kako bi olakšao ovaj napad, napadač je upotrijebio jedan od njihovih poslužitelja za preuzimanje, koji također ugošćuje MortalKombat Ransomware. Pojedinosti o korištenim alatima zlonamjernog softvera i kampanji napada objavljene su u izvješću istraživača zlonamjernog softvera.

Nakon analize koda, naziva klase i nizova ključeva registra MortalKombat Ransomwarea, istraživači su s velikom pouzdanošću zaključili da prijetnja pripada Xorist obitelji ransomwarea. Ovaj soj ransomwarea poznat je po korištenju jakih algoritama šifriranja za šifriranje žrtvinih datoteka i traženju otkupnine u zamjenu za ključ za dešifriranje.

Višefazni lanac zaraze uvođenjem MortalKombat Ransomwarea

Kampanja napada obično počinje s phishing e-poštom. Napadači obično šalju zlonamjerni softver ili ransomware putem e-pošte, a zatim nastavljaju prikrivati svoje tragove brisanjem svih dokaza o oštećenim datotekama. To otežava istraživačima infoseca analizu operacije.

Početna e-pošta za krađu identiteta sadrži kompromitiranu ZIP datoteku koja ima BAT skriptu za učitavanje. Privlačna e-pošta predstavljena je kao da dolazi s legitimnog globalnog portala za kriptovalute CoinPayments. Naravno, entitet ni na koji način nije povezan s ovim porukama e-pošte.
Osim toga, kako bi dodatno zavarali svoje mete, e-poruke imaju lažnu e-poštu pošiljatelja.

Kada žrtva otvori skriptu za učitavanje, ona automatski preuzima drugu zlonamjernu ZIP datoteku s poslužitelja za hosting koji kontrolira napadač na žrtvin stroj. Skripta zatim napuhava datoteku i izvršava korisni teret. Korisni teret može biti ili GO varijanta Laplas Clipper malwa ili MortalKombat Ransomware.

Skripta za učitavanje pokreće raspoređeni korisni teret kao proces na žrtvinom stroju, a zatim uklanja sve preuzete i ispuštene nesigurne datoteke kako bi eliminirao markere infekcije.

Prijeteće mogućnosti MortalKombat Ransomwarea

Malo se zna o kreatorima MortalKombat Ransomwarea ili njihovoj operativnoj strategiji. I naziv ransomwarea i pozadina koju ispušta na žrtvin sustav naklon je popularnoj medijskoj franšizi Mortal Kombat, koja uključuje niz videoigara i filmova.

MortalKombat ima mogućnost šifriranja širokog spektra datoteka na žrtvinom stroju, uključujući sustav, aplikaciju, bazu podataka, sigurnosnu kopiju, datoteke virtualnog stroja, kao i datoteke na udaljenim lokacijama mapirane kao logički pogoni. Ispušta poruku o otkupnini i mijenja pozadinu na žrtvinom računalu nakon šifriranja datoteka. Međutim, MortalKombat ne prikazuje nikakvo ponašanje brisača niti briše Shadow Volume Copies na žrtvinom računalu. Umjesto toga, oštećuje Windows Explorer, uklanja mape i aplikacije iz pokretanja sustava Windows i onemogućuje naredbeni prozor Run, čineći stroj neoperativnim.

Kibernetički kriminalci koji stoje iza prijetnje koriste qTOX, popularnu aplikaciju za razmjenu izravnih poruka dostupnu na GitHubu, za komunikaciju sa svojim žrtvama. Osim toga, pružaju adresu e-pošte - 'hack3dlikeapro[at]proton[.]me,' kao alternativno sredstvo komunikacije.

Sve u svemu, MortalKombat je vrlo prijeteći ransomware koji može ozbiljno oštetiti strojeve žrtava i dovesti do gubitka vrijednih podataka. Trebali biste ostati oprezni protiv takvih prijetnji i poduzeti proaktivne mjere za zaštitu sustava od napada ransomwarea.