MortalKombat Ransomware

Sejak Disember 2022, seorang pelakon ancaman yang tidak dikenali telah menggunakan dua program mengancam yang agak baharu - MortalKombat Ransomware dan varian GO daripada perisian hasad Laplas Clipper - untuk mengumpul mata wang kripto daripada mangsa mereka. Penyerang telah mengimbas Internet untuk mesin yang terdedah dengan port protokol desktop jauh (RDP) terdedah 3389, yang kemudian mereka gunakan untuk mendapatkan akses tanpa kebenaran kepada sistem mangsa. Untuk memudahkan serangan ini, penyerang menggunakan salah satu pelayan muat turun mereka, yang juga menjadi hos MortalKombat Ransomware. Butiran tentang alat perisian hasad yang digunakan dan kempen serangan dikeluarkan dalam laporan oleh penyelidik perisian hasad.

Setelah menganalisis kod, nama kelas dan rentetan kunci Pendaftaran MortalKombat Ransomware, para penyelidik membuat kesimpulan dengan keyakinan tinggi bahawa ancaman itu adalah milik keluarga Xorist ransomware. Strain perisian tebusan ini dikenali kerana menggunakan algoritma penyulitan yang kuat untuk menyulitkan fail mangsa dan kemudian meminta bayaran tebusan sebagai pertukaran untuk kunci penyahsulitan.

Rantaian Jangkitan Berbilang Peringkat Menggunakan Perisian Ransom MortalKombat

Kempen serangan biasanya bermula dengan e-mel pancingan data. Penyerang biasanya menghantar sama ada perisian hasad atau perisian tebusan melalui e-mel dan kemudian meneruskan untuk menutup jejak mereka dengan memadam sebarang bukti fail yang rosak. Ini menyukarkan penyelidik infosec untuk menganalisis operasi.

E-mel pancingan data awal mengandungi fail ZIP yang terjejas yang mempunyai skrip pemuat BAT. E-mel gewang dipersembahkan seolah-olah datang dari gerbang mata wang kripto global yang sah CoinPayments. Sudah tentu, entiti itu sama sekali tidak disambungkan kepada mesej e-mel ini.
Selain itu, untuk memperdayakan lagi sasaran mereka, e-mel tersebut mempunyai e-mel penghantar yang dipalsukan.

Apabila mangsa membuka skrip pemuat, ia secara automatik memuat turun satu lagi fail ZIP berniat jahat daripada pelayan pengehosan dikawal penyerang ke mesin mangsa. Skrip kemudian mengembang fail dan melaksanakan muatan. Muatan boleh sama ada varian GO Laplas Clipper malwa atau MortalKombat Ransomware.

Skrip pemuat menjalankan muatan yang digunakan sebagai proses pada mesin mangsa dan kemudian mengalih keluar sebarang fail tidak selamat yang dimuat turun dan digugurkan untuk menghapuskan penanda jangkitan.

Keupayaan Mengancam MortalKombat Ransomware

Sedikit yang diketahui tentang pencipta MortalKombat Ransomware atau strategi operasi mereka. Kedua-dua nama perisian tebusan dan kertas dinding yang dijatuhkan pada sistem mangsa adalah tanda kepada francais media Mortal Kombat yang popular, yang merangkumi satu siri permainan video dan filem.

MortalKombat mempunyai keupayaan untuk menyulitkan pelbagai jenis fail pada mesin mangsa, termasuk sistem, aplikasi, pangkalan data, sandaran, fail mesin maya, serta fail di lokasi terpencil yang dipetakan sebagai pemacu logik. Ia menjatuhkan nota tebusan dan menukar kertas dinding pada mesin mangsa selepas menyulitkan fail. Walau bagaimanapun, MortalKombat tidak memaparkan sebarang tingkah laku pengelap atau memadam Salinan Volume Bayangan pada mesin mangsa. Sebaliknya, ia merosakkan Windows Explorer, mengalih keluar folder dan aplikasi daripada permulaan Windows, dan melumpuhkan tetingkap arahan Run, menjadikan mesin tidak boleh beroperasi.

Penjenayah siber di sebalik ancaman itu menggunakan qTOX, aplikasi pemesejan segera popular yang tersedia di GitHub, untuk berkomunikasi dengan mangsa mereka. Selain itu, mereka menyediakan alamat e-mel - 'hack3dlikeapro[at]proton[.]me,' sebagai cara komunikasi alternatif.

Secara keseluruhannya, MortalKombat ialah perisian tebusan yang sangat mengancam yang boleh menyebabkan kerosakan teruk pada mesin mangsa dan mengakibatkan kehilangan data berharga. Anda harus terus berwaspada terhadap ancaman sedemikian dan mengambil langkah proaktif untuk melindungi sistem daripada serangan ransomware.