MortalKombat Ransomware

Siden desember 2022 har en uidentifisert trusselaktør brukt to relativt nye truende programmer - MortalKombat Ransomware og en GO-variant av Laplas Clipper malware - for å samle inn kryptovaluta fra ofrene deres. Angriperen har skannet Internett for sårbare maskiner med en utsatt RDP-protokoll (Remote Desktop Protocol) port 3389, som de deretter bruker for å få uautorisert tilgang til offerets system. For å lette dette angrepet brukte angriperen en av deres nedlastingsservere, som også er vert for MortalKombat Ransomware. Detaljer om de brukte skadevareverktøyene og angrepskampanjen ble utgitt i en rapport fra skadevareforskere.

Etter å ha analysert koden, klassenavnet og registernøkkelstrengene til MortalKombat Ransomware, konkluderte forskerne med stor sikkerhet at trusselen tilhører Xorist -familien av løsepenger. Denne løsepengevarestammen er kjent for å bruke sterke krypteringsalgoritmer for å kryptere offerets filer og deretter be om løsepenger i bytte mot dekrypteringsnøkkelen.

Flertrinns infeksjonskjede som distribuerer MortalKombat Ransomware

Angrepskampanjen begynner vanligvis med en phishing-e-post. Angriperne leverer vanligvis enten skadevare eller løsepengeprogramvare via e-posten og fortsetter deretter med å dekke sporene sine ved å slette eventuelle bevis på de korrupte filene. Dette gjør det vanskelig for infosec-forskere å analysere operasjonen.

Den første phishing-e-posten inneholder en kompromittert ZIP-fil som har et BAT-lasterskript. Lokke-e-posten presenteres som om den kommer fra den legitime globale kryptovalutaporten CoinPayments. Selvfølgelig er enheten på ingen måte koblet til disse e-postmeldingene.
I tillegg, for ytterligere å lure målene deres, har e-postene en falsk avsender-e-post.

Når offeret åpner lasterskriptet, laster det automatisk ned en annen ondsinnet ZIP-fil fra en angriperkontrollert vertsserver til offerets maskin. Skriptet blåser deretter opp filen og kjører nyttelasten. Nyttelasten kan enten være GO-varianten av Laplas Clipper malwa eller MortalKombat Ransomware.

Lasterskriptet kjører den distribuerte nyttelasten som en prosess på offerets maskin og fjerner deretter alle nedlastede og droppede usikre filer for å eliminere infeksjonsmarkører.

De truende egenskapene til MortalKombat Ransomware

Lite er kjent om MortalKombat Ransomware-skaperne eller deres operasjonelle strategi. Både navnet på løsepengevaren og bakgrunnsbildet som det slipper på offerets system er et nikk til den populære Mortal Kombat-medieserien, som inkluderer en serie videospill og filmer.

MortalKombat har muligheten til å kryptere et bredt spekter av filer på offerets maskin, inkludert system, applikasjon, database, backup, virtuelle maskinfiler, samt filer på eksterne steder kartlagt som logiske stasjoner. Den slipper en løsepenge og endrer bakgrunnen på offerets maskin etter å ha kryptert filene. MortalKombat viser imidlertid ingen viskeroppførsel eller sletter Shadow Volume Copies på offerets maskin. I stedet ødelegger det Windows Utforsker, fjerner mapper og programmer fra Windows-oppstarten, og deaktiverer Kjør-kommandovinduet, noe som gjør maskinen ubrukelig.

Nettkriminelle bak trusselen bruker qTOX, en populær direktemeldingsapplikasjon tilgjengelig på GitHub, for å kommunisere med ofrene sine. I tillegg oppgir de en e-postadresse - 'hack3dlikeapro[at]proton[.]me,' som et alternativt kommunikasjonsmiddel.

Totalt sett er MortalKombat en svært truende løsepengevare som kan forårsake alvorlig skade på ofrenes maskiner og resultere i tap av verdifull data. Du bør være på vakt mot slike trusler og ta proaktive tiltak for å sikre systemer mot løsepenge-angrep.