Программа-вымогатель MortalKombat

С декабря 2022 года неизвестный злоумышленник использует две относительно новые вредоносные программы — MortalKombat Ransomware и GO-вариант вредоносного ПО Laplas Clipper — для сбора криптовалюты у своих жертв. Злоумышленник сканирует Интернет в поисках уязвимых машин с открытым портом 3389 протокола удаленного рабочего стола (RDP), который затем используется для получения несанкционированного доступа к системе жертвы. Чтобы облегчить эту атаку, злоумышленник использовал один из своих серверов загрузки, на котором также размещена программа-вымогатель MortalKombat. Подробная информация об используемых вредоносных инструментах и кампании атаки была опубликована в отчете исследователей вредоносных программ.

Проанализировав код, имя класса и ключевые строки реестра программы-вымогателя MortalKombat, исследователи с высокой степенью уверенности пришли к выводу, что угроза принадлежит семейству программ-вымогателей Xorist . Эта разновидность программы-вымогателя известна тем, что использует надежные алгоритмы шифрования для шифрования файлов жертвы, а затем требует выкуп в обмен на ключ дешифрования.

Многоступенчатая цепочка заражения с использованием программы-вымогателя MortalKombat

Кампания атаки обычно начинается с фишингового письма. Злоумышленники обычно доставляют вредоносное ПО или программы-вымогатели по электронной почте, а затем продолжают заметать следы, удаляя все доказательства поврежденных файлов. Это затрудняет анализ операции исследователями информационной безопасности.

Первоначальное фишинговое письмо содержит скомпрометированный ZIP-файл со сценарием загрузчика BAT. Письмо-приманка представлено так, как будто оно исходит от законного глобального криптовалютного шлюза CoinPayments. Конечно, сущность никоим образом не связана с этими сообщениями электронной почты.
Кроме того, чтобы еще больше обмануть своих целей, электронные письма содержат поддельный адрес электронной почты отправителя.

Когда жертва открывает скрипт-загрузчик, он автоматически загружает другой вредоносный ZIP-файл с хостинг-сервера, контролируемого злоумышленниками, на машину жертвы. Затем скрипт наполняет файл и выполняет полезную нагрузку. Полезной нагрузкой может быть либо GO-вариант малва Laplas Clipper, либо программа-вымогатель MortalKombat.

Сценарий загрузчика запускает развернутую полезную нагрузку как процесс на компьютере жертвы, а затем удаляет все загруженные и удаленные небезопасные файлы, чтобы устранить маркеры заражения.

Угрожающие возможности программы-вымогателя MortalKombat

Мало что известно о создателях MortalKombat Ransomware или их оперативной стратегии. И название программы-вымогателя, и обои, которые она сбрасывает в системе жертвы, являются отсылкой к популярной медиа-франшизе Mortal Kombat, которая включает в себя серию видеоигр и фильмов.

MortalKombat может шифровать широкий спектр файлов на машине жертвы, включая систему, приложения, базы данных, резервные копии, файлы виртуальных машин, а также файлы в удаленных местах, отображаемые как логические диски. Он бросает записку с требованием выкупа и меняет обои на компьютере жертвы после шифрования файлов. Тем не менее, MortalKombat не отображает поведение очистки и не удаляет копии теневых томов на компьютере жертвы. Вместо этого он повреждает проводник Windows, удаляет папки и приложения из автозагрузки Windows и отключает командное окно «Выполнить», выводя машину из строя.

Киберпреступники, стоящие за этой угрозой, используют qTOX, популярное приложение для обмена мгновенными сообщениями, доступное на GitHub, для общения со своими жертвами. Кроме того, они предоставляют адрес электронной почты — «hack3dlikeapro[at]proton[.]me» в качестве альтернативного средства связи.

В целом, MortalKombat представляет собой очень опасную программу-вымогатель, которая может нанести серьезный ущерб компьютерам жертв и привести к потере ценных данных. Вы должны сохранять бдительность в отношении таких угроз и принимать упреждающие меры для защиты систем от атак программ-вымогателей.