MortalKombat Ransomware

2022 decembere óta egy azonosítatlan fenyegetőző két viszonylag új fenyegető programot – a MortalKombat Ransomware-t és a Laplas Clipper rosszindulatú program GO változatát – használta, hogy kriptovalutát gyűjtsön áldozataitól. A támadó a 3389-es távoli asztali protokoll (RDP) 3389-es portjával kereste az internetet sebezhető gépek után, amelyet aztán arra használnak, hogy illetéktelenül hozzáférjenek az áldozat rendszeréhez. A támadás megkönnyítése érdekében a támadó az egyik letöltőszerverüket használta, amely a MortalKombat Ransomware-t is tartalmazza. Az alkalmazott malware eszközökről és a támadási kampányról a kártevőkutatók jelentésében számoltak be.

A MortalKombat Ransomware kódjának, osztálynevének és Registry kulcssorainak elemzése során a kutatók nagy magabiztossággal arra a következtetésre jutottak, hogy a fenyegetés a Xorist ransomware családhoz tartozik. Ez a ransomware-törzs arról ismert, hogy erős titkosítási algoritmusokat használ az áldozat fájljainak titkosításához, majd váltságdíjat kér a visszafejtési kulcsért cserébe.

A MortalKombat Ransomware-t telepítő többlépcsős fertőzési lánc

A támadási kampány általában egy adathalász e-maillel kezdődik. A támadók általában rosszindulatú vagy zsarolóprogramokat küldenek e-mailben, majd a sérült fájlok minden bizonyítékának törlésével fedezik a nyomaikat. Ez megnehezíti az infosec kutatói számára a művelet elemzését.

A kezdeti adathalász e-mail egy feltört ZIP-fájlt tartalmaz, amely BAT-betöltő szkriptet tartalmaz. A csalogató e-mail úgy jelenik meg, mintha a CoinPayments legitim globális kriptovaluta átjárótól érkezne. Természetesen az entitás semmilyen módon nem kapcsolódik ezekhez az e-mail üzenetekhez.
Ezenkívül a célpontok megtévesztésére az e-mailek hamisított feladói e-mailt tartalmaznak.

Amikor az áldozat megnyitja a betöltő szkriptet, az automatikusan letölt egy másik rosszindulatú ZIP-fájlt a támadó által vezérelt tárhelykiszolgálóról az áldozat gépére. A szkript ezután felfújja a fájlt, és végrehajtja a hasznos terhet. A hasznos teher lehet a Laplas Clipper malwa GO változata vagy a MortalKombat Ransomware.

A betöltő szkript a telepített hasznos terhet folyamatként futtatja az áldozat gépén, majd eltávolítja a letöltött és eldobott nem biztonságos fájlokat a fertőzésjelzők eltávolítása érdekében.

A MortalKombat Ransomware fenyegető képességei

Keveset tudunk a MortalKombat Ransomware készítőiről vagy működési stratégiájukról. Mind a ransomware neve, mind a háttérkép, amelyet az áldozat rendszerére dob, a népszerű Mortal Kombat médiafranchise-ra utal, amely videojátékok és filmek sorozatát is magában foglalja.

A MortalKombat képes titkosítani az áldozat gépén található fájlok széles skáláját, beleértve a rendszert, az alkalmazást, az adatbázist, a biztonsági másolatot, a virtuális gép fájljait, valamint a logikai meghajtóként leképezett távoli helyeken lévő fájlokat. A fájlok titkosítása után elejti a váltságdíjat, és megváltoztatja a háttérképet az áldozat gépén. A MortalKombat azonban nem jelenít meg semmilyen törlő viselkedést, és nem törli a Shadow Volume Copies-t az áldozat gépén. Ehelyett tönkreteszi a Windows Intézőt, eltávolítja a mappákat és alkalmazásokat a Windows indításakor, és letiltja a Futtatás parancsablakot, ami működésképtelenné teszi a gépet.

A fenyegetés mögött álló kiberbűnözők a GitHubon elérhető népszerű azonnali üzenetküldő alkalmazás, a qTOX segítségével kommunikálnak áldozataikkal. Ezenkívül alternatív kommunikációs eszközként egy e-mail címet is biztosítanak – „hack3dlikeapro[kukac]proton[.]me”.

Összességében a MortalKombat egy rendkívül fenyegető zsarolóprogram, amely súlyos károkat okozhat az áldozatok gépeiben, és értékes adatok elvesztéséhez vezethet. Legyen éber az ilyen fenyegetésekkel szemben, és tegyen proaktív intézkedéseket a rendszerek védelme érdekében a ransomware támadásokkal szemben.