Ransomware MortalKombat

Od grudnia 2022 r. niezidentyfikowany cyberprzestępca używa dwóch stosunkowo nowych groźnych programów – MortalKombat Ransomware i wariantu GO złośliwego oprogramowania Laplas Clipper – do zbierania kryptowalut od swoich ofiar. Atakujący skanuje Internet w poszukiwaniu podatnych na ataki maszyn z ujawnionym portem protokołu zdalnego pulpitu (RDP) 3389, którego następnie używa do uzyskania nieautoryzowanego dostępu do systemu ofiary. Aby ułatwić ten atak, atakujący wykorzystał jeden ze swoich serwerów pobierania, na którym znajduje się również MortalKombat Ransomware. Szczegóły dotyczące wykorzystywanych narzędzi złośliwego oprogramowania i kampanii ataku zostały ujawnione w raporcie badaczy szkodliwego oprogramowania.

Po przeanalizowaniu kodu, nazwy klasy i ciągów kluczy rejestru MortalKombat Ransomware badacze doszli do wniosku, że zagrożenie należy do rodziny ransomware Xorist . Ten szczep ransomware jest znany z używania silnych algorytmów szyfrowania do szyfrowania plików ofiary, a następnie żądania zapłaty okupu w zamian za klucz odszyfrowywania.

Wieloetapowy łańcuch infekcji wdrażający oprogramowanie ransomware MortalKombat

Kampania ataku zwykle zaczyna się od wiadomości e-mail phishingowej. Atakujący zwykle dostarczają złośliwe oprogramowanie lub oprogramowanie ransomware za pośrednictwem wiadomości e-mail, a następnie zacierają ślady, usuwając wszelkie dowody na istnienie uszkodzonych plików. Utrudnia to badaczom infosec analizę operacji.

Początkowy e-mail phishingowy zawiera skompromitowany plik ZIP ze skryptem ładującym BAT. E-mail z przynętą jest prezentowany tak, jakby pochodził z legalnej globalnej bramki kryptowalutowej CoinPayments. Oczywiście podmiot nie jest w żaden sposób powiązany z tymi wiadomościami e-mail.
Dodatkowo, aby jeszcze bardziej oszukać swoje cele, e-maile zawierają sfałszowany adres e-mail nadawcy.

Kiedy ofiara otwiera skrypt ładujący, automatycznie pobiera kolejny złośliwy plik ZIP z kontrolowanego przez atakującego serwera hostingowego na maszynę ofiary. Następnie skrypt nadyma plik i wykonuje ładunek. Ładunkiem może być wariant GO Laplas Clipper malwa lub MortalKombat Ransomware.

Skrypt ładujący uruchamia wdrożony ładunek jako proces na maszynie ofiary, a następnie usuwa wszelkie pobrane i upuszczone niebezpieczne pliki, aby wyeliminować znaczniki infekcji.

Zagrożone możliwości MortalKombat Ransomware

Niewiele wiadomo o twórcach MortalKombat Ransomware ani o ich strategii operacyjnej. Zarówno nazwa oprogramowania ransomware, jak i tapeta upuszczana przez nie na system ofiary to ukłon w stronę popularnej medialnej serii Mortal Kombat, która obejmuje serię gier wideo i filmów.

MortalKombat ma możliwość szyfrowania szerokiej gamy plików na maszynie ofiary, w tym plików systemowych, aplikacji, baz danych, kopii zapasowych, maszyn wirtualnych, a także plików w zdalnych lokalizacjach zmapowanych jako dyski logiczne. Upuszcza żądanie okupu i zmienia tapetę na komputerze ofiary po zaszyfrowaniu plików. Jednak MortalKombat nie wyświetla żadnych działań wycieraczek ani nie usuwa kopii woluminów w tle na komputerze ofiary. Zamiast tego uszkadza Eksploratora Windows, usuwa foldery i aplikacje z uruchamiania systemu Windows oraz wyłącza okno poleceń Uruchom, powodując, że maszyna nie działa.

Cyberprzestępcy stojący za tym zagrożeniem używają qTOX, popularnego komunikatora internetowego dostępnego na GitHub, do komunikowania się ze swoimi ofiarami. Dodatkowo dostarczają adres e-mail - "hack3dlikeapro[at]proton[.]me" jako alternatywny środek komunikacji.

Ogólnie rzecz biorąc, MortalKombat jest bardzo groźnym oprogramowaniem ransomware, które może spowodować poważne uszkodzenia maszyn ofiar i spowodować utratę cennych danych. Należy zachować czujność wobec takich zagrożeń i podejmować proaktywne działania w celu zabezpieczenia systemów przed atakami ransomware.