MortalKombat Ransomware

Kopš 2022. gada decembra neidentificēts draudu aktieris ir izmantojis divas salīdzinoši jaunas draudu programmas - MortalKombat Ransomware un Laplas Clipper ļaunprogrammatūras GO variantu, lai savāktu kriptovalūtu no upuriem. Uzbrucējs ir meklējis internetu, lai atrastu neaizsargātas iekārtas ar atklātu attālās darbvirsmas protokola (RDP) portu 3389, ko viņi pēc tam izmanto, lai iegūtu nesankcionētu piekļuvi upura sistēmai. Lai atvieglotu šo uzbrukumu, uzbrucējs izmantoja vienu no saviem lejupielādes serveriem, kurā atrodas arī MortalKombat Ransomware. Sīkāka informācija par izmantotajiem ļaunprātīgas programmatūras rīkiem un uzbrukuma kampaņu tika publicēta ļaunprātīgas programmatūras pētnieku ziņojumā.

Analizējot MortalKombat Ransomware kodu, klases nosaukumu un reģistra atslēgu virknes, pētnieki ar lielu pārliecību secināja, ka draudi pieder Xorist ransomware saimei. Šis izpirkuma programmatūras celms ir pazīstams ar to, ka izmanto spēcīgus šifrēšanas algoritmus, lai šifrētu upura failus, un pēc tam pieprasa izpirkuma maksu apmaiņā pret atšifrēšanas atslēgu.

Daudzpakāpju infekcijas ķēde, kas izvieto MortalKombat Ransomware

Uzbrukuma kampaņa parasti sākas ar pikšķerēšanas e-pastu. Uzbrucēji parasti nosūta vai nu ļaunprogrammatūru, vai izspiedējprogrammatūru, izmantojot e-pastu, un pēc tam turpina savas pēdas, dzēšot visus pierādījumus par bojātiem failiem. Tas apgrūtina Infosec pētniekiem operācijas analīzi.

Sākotnējā pikšķerēšanas e-pastā ir apdraudēts ZIP fails, kuram ir BAT ielādes skripts. Pievilināšanas e-pasts tiek parādīts tā, it kā tas nāktu no likumīgas globālās kriptovalūtas vārtejas CoinPayments. Protams, entītija nekādā veidā nav saistīta ar šiem e-pasta ziņojumiem.
Turklāt, lai vēl vairāk maldinātu savus mērķus, e-pastiem ir viltots sūtītāja e-pasts.

Kad upuris atver ielādes skriptu, tas upura datorā automātiski lejupielādē citu ļaunprātīgu ZIP failu no uzbrucēja kontrolēta mitināšanas servera. Pēc tam skripts palielina failu un izpilda lietderīgo slodzi. Lietderīgā krava var būt Laplas Clipper malwa GO variants vai MortalKombat Ransomware.

Ielādētāja skripts palaiž izvietoto lietderīgo slodzi kā procesu upura datorā un pēc tam noņem visus lejupielādētos un nomestos nedrošos failus, lai novērstu infekcijas marķierus.

MortalKombat Ransomware draudošās iespējas

Par MortalKombat Ransomware radītājiem vai viņu darbības stratēģiju ir maz zināms. Gan izspiedējvīrusa nosaukums, gan tapetes, ko tā nolaiž upura sistēmā, ir mājiens populārajai Mortal Kombat mediju franšīzei, kas ietver virkni videospēļu un filmu.

MortalKombat ir iespēja šifrēt plašu failu klāstu upura mašīnā, tostarp sistēmu, lietojumprogrammu, datu bāzi, dublējumu, virtuālās mašīnas failus, kā arī failus attālās vietās, kas kartēti kā loģiski diskdziņi. Pēc failu šifrēšanas tas nomet izpirkuma piezīmi un maina upura mašīnas fona attēlu. Tomēr MortalKombat nerāda nekādu tīrītāju darbību un neizdzēš ēnu sējuma kopijas upura ierīcē. Tā vietā tas sabojā Windows Explorer, no Windows startēšanas noņem mapes un lietojumprogrammas un atspējo komandu Palaist logu, padarot iekārtu nedarbojamu.

Kibernoziedznieki, kas rada draudus, izmanto qTOX, populāru tūlītējās ziņojumapmaiņas lietojumprogrammu, kas pieejama vietnē GitHub, lai sazinātos ar saviem upuriem. Turklāt tie nodrošina e-pasta adresi — "hack3dlikeapro[at]proton[.]me" kā alternatīvu saziņas līdzekli.

Kopumā MortalKombat ir ļoti bīstams izspiedējvīruss, kas var radīt nopietnus bojājumus upuru mašīnām un izraisīt vērtīgu datu zudumu. Jums vajadzētu būt modram pret šādiem draudiem un veikt proaktīvus pasākumus, lai aizsargātu sistēmas pret izspiedējvīrusu uzbrukumiem.