Mortal Kombat ransomware

Dal dicembre 2022, un attore di minacce non identificato ha utilizzato due programmi minacciosi relativamente nuovi - MortalKombat Ransomware e una variante GO del malware Laplas Clipper - per raccogliere criptovaluta dalle loro vittime. L'aggressore ha scansionato Internet alla ricerca di macchine vulnerabili con una porta RDP (Remote Desktop Protocol) 3389 esposta, che poi utilizza per ottenere l'accesso non autorizzato al sistema della vittima. Per facilitare questo attacco, l'attaccante ha utilizzato uno dei loro server di download, che ospita anche MortalKombat Ransomware. I dettagli sugli strumenti malware utilizzati e sulla campagna di attacco sono stati rilasciati in un rapporto dai ricercatori di malware.

Dopo aver analizzato il codice, il nome della classe e le stringhe della chiave di registro di MortalKombat Ransomware, i ricercatori hanno concluso con grande sicurezza che la minaccia appartiene alla famiglia di ransomware Xorist . Questo ceppo di ransomware è noto per utilizzare potenti algoritmi di crittografia per crittografare i file della vittima e quindi chiedere un pagamento di riscatto in cambio della chiave di decrittazione.

La catena di infezioni a più stadi che distribuisce il ransomware MortalKombat

La campagna di attacco in genere inizia con un'e-mail di phishing. Gli aggressori di solito inviano malware o ransomware tramite e-mail e quindi procedono a coprire le loro tracce eliminando qualsiasi prova dei file danneggiati. Ciò rende difficile per i ricercatori di infosec analizzare l'operazione.

L'e-mail di phishing iniziale contiene un file ZIP compromesso con uno script BAT loader. L'e-mail di richiamo viene presentata come se provenisse dal legittimo gateway di criptovaluta globale CoinPayments. Naturalmente, l'entità non è in alcun modo collegata a questi messaggi di posta elettronica.
Inoltre, per ingannare ulteriormente i loro obiettivi, le e-mail hanno un'e-mail del mittente contraffatta.

Quando la vittima apre lo script del caricatore, scarica automaticamente un altro file ZIP dannoso da un server di hosting controllato da un utente malintenzionato sulla macchina della vittima. Lo script gonfia quindi il file ed esegue il payload. Il payload può essere la variante GO di Laplas Clipper malwa o MortalKombat Ransomware.

Lo script del caricatore esegue il payload distribuito come un processo sulla macchina della vittima e quindi rimuove tutti i file non sicuri scaricati e rilasciati per eliminare i marcatori di infezione.

Le capacità minacciose di MortalKombat Ransomware

Poco si sa dei creatori di MortalKombat Ransomware o della loro strategia operativa. Sia il nome del ransomware che lo sfondo che rilascia sul sistema della vittima fanno riferimento al popolare franchise multimediale Mortal Kombat, che include una serie di videogiochi e film.

MortalKombat ha la capacità di crittografare un'ampia gamma di file sulla macchina della vittima, inclusi file di sistema, applicazioni, database, backup, macchine virtuali, nonché file su posizioni remote mappate come unità logiche. Rilascia una richiesta di riscatto e cambia lo sfondo sul computer della vittima dopo aver crittografato i file. Tuttavia, MortalKombat non mostra alcun comportamento del tergicristallo né elimina le copie shadow del volume sulla macchina della vittima. Invece, corrompe Windows Explorer, rimuove cartelle e applicazioni dall'avvio di Windows e disabilita la finestra di comando Esegui, rendendo la macchina inutilizzabile.

I criminali informatici dietro la minaccia utilizzano qTOX, una popolare applicazione di messaggistica istantanea disponibile su GitHub, per comunicare con le loro vittime. Inoltre, forniscono un indirizzo e-mail - "hack3dlikeapro[at]proton[.]me", come mezzo di comunicazione alternativo.

Nel complesso, MortalKombat è un ransomware altamente minaccioso che può causare gravi danni ai computer delle vittime e provocare la perdita di dati preziosi. Dovresti rimanere vigile contro tali minacce e adottare misure proattive per proteggere i sistemi dagli attacchi ransomware.