Mortal Kombat Ransomware

Desde dezembro de 2022, um agente de ameaça não identificado tem usado dois programas ameaçadores relativamente novos - o MortalKombat Ransomware e uma variante GO do malware Laplas Clipper - para coletar criptomoedas de suas vítimas. O invasor está verificando a Internet em busca de máquinas vulneráveis com uma porta 3389 exposta do protocolo de área de trabalho remota (RDP), que eles usam para obter acesso não autorizado ao sistema da vítima. Para facilitar esse ataque, o invasor usou um de seus servidores de download, que também hospeda o MortalKombat Ransomware. Detalhes sobre as ferramentas de malware utilizadas e a campanha de ataque foram divulgados em um relatório de pesquisadores de malware.

Ao analisar o código, o nome da classe e as sequências de chaves do Registro do MortalKombat Ransomware, os pesquisadores concluíram com grande confiança que a ameaça pertence à família de ransomware Xorist. Essa variedade de ransomware é conhecida por usar algoritmos de criptografia fortes para criptografar os arquivos da vítima e, em seguida, solicitar o pagamento de um resgate em troca da chave de descriptografia.

A Cadeia de Infecção em Vários Estágios que Implanta o MortalKombat Ransomware

A campanha de ataque geralmente começa com um e-mail de phishing. Os invasores geralmente entregam malware ou ransomware por e-mail e, em seguida, cobrem seus rastros excluindo qualquer evidência dos arquivos corrompidos. Isso torna difícil para os pesquisadores de infosec analisar a operação.

O e-mail de phishing inicial contém um arquivo ZIP comprometido com um script de carregador BAT. O e-mail atrativo é apresentado como se viesse do legítimo gateway de criptomoeda global CoinPayments. Obviamente, a entidade não está de forma alguma conectada a essas mensagens de e-mail.
Além disso, para enganar ainda mais seus alvos, os e-mails têm um e-mail de remetente falsificado.

Quando a vítima abre o script do carregador, ele baixa automaticamente outro arquivo ZIP malicioso de um servidor de hospedagem controlado pelo invasor para a máquina da vítima. O script então infla o arquivo e executa a carga útil. A carga útil pode ser a variante GO do Laplas Clipper malwa ou o MortalKombat Ransomware.

O script do carregador executa a carga útil implantada como um processo na máquina da vítima e, em seguida, remove todos os arquivos inseguros baixados e descartados para eliminar os marcadores de infecção.

Os Recursos Ameaçadores do MortalKombat Ransomware

Pouco se sabe sobre os criadores do MortalKombat Ransomware ou sua estratégia operacional. Tanto o nome do ransomware quanto o papel de parede que ele coloca no sistema da vítima são uma referência à popular franquia de mídia Mortal Kombat, que inclui uma série de videogames e filmes.

O MortalKombat tem a capacidade de criptografar uma ampla variedade de arquivos na máquina da vítima, incluindo sistema, aplicativo, banco de dados, backup, arquivos da máquina virtual, bem como arquivos em locais remotos mapeados como unidades lógicas. Ele solta uma nota de resgate e muda o papel de parede da máquina da vítima após criptografar os arquivos. No entanto, o MortalKombat não exibe nenhum comportamento de limpeza nem exclui as cópias de volume de sombra na máquina da vítima. Em vez disso, ele corrompe o Windows Explorer, remove pastas e aplicativos da inicialização do Windows e desativa a janela de comando Executar, tornando a máquina inoperável.

Os cibercriminosos por trás da ameaça usam o qTOX, um popular aplicativo de mensagens instantâneas disponível no GitHub, para se comunicar com suas vítimas. Além disso, eles fornecem um endereço de e-mail - 'hack3dlikeapro[at]proton[.]me', como meio alternativo de comunicação.

No geral, o MortalKombat é um ransomware altamente ameaçador que pode causar danos graves às máquinas das vítimas e resultar na perda de dados valiosos. Você deve permanecer vigilante contra essas ameaças e tomar medidas proativas para proteger os sistemas contra ataques de ransomware.