MortalKombat-ransomware

Sinds december 2022 gebruikt een onbekende bedreigingsactor twee relatief nieuwe bedreigende programma's - de MortalKombat Ransomware en een GO-variant van de Laplas Clipper- malware - om cryptocurrency van hun slachtoffers te verzamelen. De aanvaller heeft het internet gescand op kwetsbare machines met een blootgesteld Remote Desktop Protocol (RDP) poort 3389, die ze vervolgens gebruiken om ongeoorloofde toegang tot het systeem van het slachtoffer te krijgen. Om deze aanval mogelijk te maken, gebruikte de aanvaller een van hun downloadservers, die ook de MortalKombat Ransomware host. Details over de gebruikte malwaretools en de aanvalscampagne zijn vrijgegeven in een rapport van malware-onderzoekers.

Na het analyseren van de code, klassenaam en registersleutelreeksen van de MortalKombat Ransomware, concludeerden de onderzoekers met groot vertrouwen dat de dreiging behoort tot de Xorist- familie van ransomware. Deze ransomware-stam staat bekend om het gebruik van sterke versleutelingsalgoritmen om de bestanden van het slachtoffer te versleutelen en vervolgens om losgeld te vragen in ruil voor de ontsleutelingssleutel.

De meertraps infectieketen die de MortalKombat-ransomware implementeert

De aanvalscampagne begint meestal met een phishing-e-mail. De aanvallers leveren meestal malware of ransomware via de e-mail en gaan vervolgens verder met het uitwissen van hun sporen door elk bewijs van de beschadigde bestanden te verwijderen. Dit maakt het voor infosec-onderzoekers moeilijk om de operatie te analyseren.

De eerste phishing-e-mail bevat een gecompromitteerd ZIP-bestand met een BAT-laderscript. De lokaas-e-mail wordt gepresenteerd alsof deze afkomstig is van de legitieme wereldwijde cryptocurrency-gateway CoinPayments. De entiteit is natuurlijk op geen enkele manier verbonden met deze e-mailberichten.
Bovendien, om hun doelen verder voor de gek te houden, hebben de e-mails een vervalste e-mail van de afzender.

Wanneer het slachtoffer het loader-script opent, downloadt het automatisch een ander kwaadaardig ZIP-bestand van een door een aanvaller gecontroleerde hostingserver naar de computer van het slachtoffer. Het script blaast vervolgens het bestand op en voert de payload uit. De payload kan de GO-variant van Laplas Clipper malwa of de MortalKombat Ransomware zijn.

Het loader-script voert de ingezette payload uit als een proces op de machine van het slachtoffer en verwijdert vervolgens alle gedownloade en neergezette onveilige bestanden om infectiemarkeringen te elimineren.

De bedreigende mogelijkheden van de MortalKombat-ransomware

Er is weinig bekend over de makers van MortalKombat Ransomware of hun operationele strategie. Zowel de naam van de ransomware als de wallpaper die het op het systeem van het slachtoffer laat vallen, is een knipoog naar de populaire Mortal Kombat-mediafranchise, die een reeks videogames en films omvat.

MortalKombat heeft de mogelijkheid om een breed scala aan bestanden op de machine van het slachtoffer te versleutelen, inclusief systeem-, applicatie-, database-, back-up-, virtuele machinebestanden, evenals bestanden op externe locaties die zijn toegewezen als logische schijven. Het laat een losgeldbrief achter en verandert de achtergrond op de computer van het slachtoffer na het versleutelen van de bestanden. MortalKombat vertoont echter geen wisgedrag of verwijdert de schaduwvolumekopieën op de computer van het slachtoffer. In plaats daarvan corrumpeert het de Windows Verkenner, verwijdert het mappen en applicaties van het opstarten van Windows en schakelt het het opdrachtvenster Uitvoeren uit, waardoor de machine onbruikbaar wordt.

De cybercriminelen achter de dreiging gebruiken qTOX, een populaire instant messaging-applicatie die beschikbaar is op GitHub, om met hun slachtoffers te communiceren. Bovendien bieden ze een e-mailadres - 'hack3dlikeapro[at]proton[.]me', als alternatief communicatiemiddel.

Over het algemeen is MortalKombat een zeer bedreigende ransomware die ernstige schade kan toebrengen aan de machines van slachtoffers en kan resulteren in het verlies van waardevolle gegevens. U moet waakzaam blijven voor dergelijke bedreigingen en proactieve maatregelen nemen om systemen te beveiligen tegen ransomware-aanvallen.