MortalKombat Ransomware

Nuo 2022 m. gruodžio mėn. nenustatytas grėsmės veikėjas naudojo dvi palyginti naujas grėsmę keliančias programas – „MortalKombat Ransomware“ ir „Laplas Clipper“ kenkėjiškos programos GO variantą – rinkti kriptovaliutą iš savo aukų. Užpuolikas internete ieškojo pažeidžiamų kompiuterių su atviru nuotolinio darbalaukio protokolo (RDP) prievadu 3389, kurį vėliau naudoja siekdamas neteisėtos prieigos prie aukos sistemos. Siekdamas palengvinti šią ataką, užpuolikas panaudojo vieną iš jų atsisiuntimo serverių, kuriame taip pat yra „MortalKombat Ransomware“. Išsamią informaciją apie naudotus kenkėjiškų programų įrankius ir atakos kampaniją paskelbė kenkėjiškų programų tyrinėtojai.

Išanalizavę MortalKombat Ransomware kodą, klasės pavadinimą ir registro raktų eilutes, tyrėjai labai užtikrintai padarė išvadą, kad grėsmė priklauso Xorist išpirkos reikalaujančių programų šeimai. Ši išpirkos reikalaujanti programinė įranga žinoma dėl to, kad naudoja stiprius šifravimo algoritmus aukos failams užšifruoti, o tada už iššifravimo raktą prašo sumokėti išpirką.

Daugiapakopė infekcijos grandinė, diegianti MortalKombat Ransomware

Atakos kampanija paprastai prasideda sukčiavimo el. paštu. Užpuolikai dažniausiai pateikia kenkėjiškas programas arba išpirkos reikalaujančias programas el. paštu, o paskui imasi savo pėdsakų ištrindami visus sugadintų failų įrodymus. Dėl to infosec tyrėjams sunku analizuoti operaciją.

Pradiniame sukčiavimo el. laiške yra pažeistas ZIP failas, kuriame yra BAT įkėlimo scenarijus. Suviliojimo el. laiškas pateikiamas taip, tarsi būtų gautas iš teisėto pasaulinio kriptovaliutų šliuzo CoinPayments. Žinoma, subjektas niekaip nesusijęs su šiais el. pašto pranešimais.
Be to, siekiant dar labiau apgauti jų taikinius, el. laiškuose yra suklastotas siuntėjo el.

Kai auka atidaro įkėlimo scenarijų, ji automatiškai atsisiunčia kitą kenkėjišką ZIP failą iš užpuoliko valdomo prieglobos serverio į aukos kompiuterį. Tada scenarijus išpučia failą ir vykdo naudingą apkrovą. Naudingoji apkrova gali būti „Laplas Clipper malwa“ GO variantas arba „MortalKombat Ransomware“.

Įkėlimo scenarijus paleidžia įdiegtą naudingą apkrovą kaip procesą aukos įrenginyje ir pašalina visus atsisiųstus ir išmestus nesaugius failus, kad pašalintų infekcijos žymenis.

„MortalKombat Ransomware“ grėsmingos galimybės

Mažai žinoma apie MortalKombat Ransomware kūrėjus ar jų veiklos strategiją. Ir išpirkos reikalaujančios programinės įrangos pavadinimas, ir ekrano užsklanda, kurią ji nuleidžia ant aukos sistemos, yra populiarioji Mortal Kombat žiniasklaidos franšizė, apimanti daugybę vaizdo žaidimų ir filmų.

„MortalKombat“ turi galimybę užšifruoti daugybę failų aukos kompiuteryje, įskaitant sistemą, programą, duomenų bazę, atsargines kopijas, virtualios mašinos failus, taip pat failus atokiose vietose, susietose su loginiais diskais. Užšifravęs failus, jis numeta išpirkos raštelį ir pakeičia aukos įrenginio ekrano užsklandą. Tačiau „MortalKombat“ nerodo jokio valytuvo veikimo ir neištrina „Shadow Volume“ kopijų aukos įrenginyje. Vietoj to, jis sugadina „Windows Explorer“, pašalina aplankus ir programas iš „Windows“ paleisties ir išjungia komandų vykdymo langą, todėl įrenginys nebeveikia.

Kibernetiniai nusikaltėliai, slepiantys grėsmę, naudoja qTOX, populiarią momentinių pranešimų programą, pasiekiamą GitHub, norėdami bendrauti su savo aukomis. Be to, jie pateikia el. pašto adresą – „hack3dlikeapro[at]proton[.]me“, kaip alternatyvią ryšio priemonę.

Apskritai „MortalKombat“ yra labai grėsminga išpirkos reikalaujanti programinė įranga, galinti smarkiai pakenkti aukų įrenginiams ir prarasti vertingus duomenis. Turėtumėte išlikti budrūs dėl tokių grėsmių ir imtis aktyvių priemonių, kad apsaugotumėte sistemas nuo išpirkos reikalaujančių programų atakų.