모탈컴뱃 랜섬웨어

2022년 12월부터 신원이 확인되지 않은 공격자가 상대적으로 새로운 두 가지 위협 프로그램인 MortalKombat 랜섬웨어와 Laplas Clipper 맬웨어의 GO 변종을 사용하여 피해자로부터 암호화폐를 수집했습니다. 공격자는 노출된 RDP(원격 데스크톱 프로토콜) 포트 3389를 사용하여 취약한 시스템을 찾기 위해 인터넷을 검색하고 이를 사용하여 피해자 시스템에 대한 무단 액세스 권한을 얻습니다. 이 공격을 용이하게 하기 위해 공격자는 MortalKombat 랜섬웨어도 호스팅하는 다운로드 서버 중 하나를 사용했습니다. 사용된 맬웨어 도구 및 공격 캠페인에 대한 세부 정보는 맬웨어 연구원의 보고서에서 공개되었습니다.

연구원들은 MortalKombat 랜섬웨어의 코드, 클래스 이름 및 레지스트리 키 문자열을 분석한 결과 해당 위협이 Xorist 랜섬웨어 계열에 속한다는 확신을 가지고 결론을 내렸습니다. 이 랜섬웨어 변종은 강력한 암호화 알고리즘을 사용하여 피해자의 파일을 암호화한 다음 해독 키에 대한 대가로 몸값 지불을 요구하는 것으로 알려져 있습니다.

MortalKombat 랜섬웨어를 배포하는 다단계 감염 체인

공격 캠페인은 일반적으로 피싱 이메일로 시작됩니다. 공격자는 일반적으로 이메일을 통해 맬웨어 또는 랜섬웨어를 전달한 다음 손상된 파일의 증거를 삭제하여 추적을 은폐합니다. 이로 인해 infosec 연구원이 작업을 분석하기가 어렵습니다.

초기 피싱 이메일에는 BAT 로더 스크립트가 있는 손상된 ZIP 파일이 포함되어 있습니다. 미끼 이메일은 합법적인 글로벌 암호화폐 게이트웨이 CoinPayments에서 온 것처럼 표시됩니다. 물론 엔터티는 이러한 전자 메일 메시지에 연결되어 있지 않습니다.
또한 대상을 더 속이기 위해 이메일에 스푸핑된 발신자 이메일이 있습니다.

피해자가 로더 스크립트를 열면 공격자가 제어하는 호스팅 서버에서 피해자의 컴퓨터로 또 다른 악성 ZIP 파일을 자동으로 다운로드합니다. 그런 다음 스크립트는 파일을 확장하고 페이로드를 실행합니다. 페이로드는 Laplas Clipper malwa의 GO 변종 또는 MortalKombat Ransomware일 수 있습니다.

로더 스크립트는 배포된 페이로드를 피해자의 컴퓨터에서 프로세스로 실행한 다음 다운로드 및 삭제된 안전하지 않은 파일을 제거하여 감염 마커를 제거합니다.

MortalKombat 랜섬웨어의 위협적인 기능

MortalKombat 랜섬웨어 제작자나 그들의 운영 전략에 대해서는 알려진 바가 거의 없습니다. 랜섬웨어의 이름과 피해자의 시스템에 표시되는 배경화면은 일련의 비디오 게임과 영화를 포함하는 인기 있는 Mortal Kombat 미디어 프랜차이즈의 이름입니다.

MortalKombat은 시스템, 애플리케이션, 데이터베이스, 백업, 가상 머신 파일은 물론 논리 드라이브로 매핑된 원격 위치의 파일을 포함하여 피해자의 머신에 있는 광범위한 파일을 암호화할 수 있습니다. 랜섬 노트를 드롭하고 파일을 암호화한 후 피해자 시스템의 배경 화면을 변경합니다. 그러나 MortalKombat은 와이퍼 동작을 표시하지 않거나 피해자 시스템에서 섀도우 볼륨 복사본을 삭제하지 않습니다. 대신 Windows 탐색기를 손상시키고 Windows 시작 시 폴더와 응용 프로그램을 제거하며 실행 명령 창을 비활성화하여 시스템을 작동할 수 없게 만듭니다.

이 위협의 배후에 있는 사이버 범죄자는 GitHub에서 사용할 수 있는 인기 있는 인스턴트 메시징 애플리케이션인 qTOX를 사용하여 피해자와 통신합니다. 또한 대체 커뮤니케이션 수단으로 'hack3dlikeapro[at]proton[.]me'라는 이메일 주소를 제공합니다.

전반적으로 MortalKombat은 피해자의 시스템에 심각한 손상을 입히고 귀중한 데이터 손실을 초래할 수 있는 매우 위협적인 랜섬웨어입니다. 이러한 위협에 대해 경계를 유지하고 랜섬웨어 공격으로부터 시스템을 보호하기 위한 사전 조치를 취해야 합니다.