MortalKombat Ransomware

Od decembra 2022 používa neznámy aktér hrozby dva relatívne nové ohrozujúce programy – MortalKombat Ransomware a GO variant malvéru Laplas Clipper – na zbieranie kryptomien od svojich obetí. Útočník prehľadával internet, či neobsahuje zraniteľné počítače s odhaleným portom protokolu vzdialenej pracovnej plochy (RDP) 3389, ktorý potom používajú na získanie neoprávneného prístupu do systému obete. Na uľahčenie tohto útoku útočník použil jeden z ich sťahovacích serverov, ktorý tiež hostí MortalKombat Ransomware. Podrobnosti o používaných malvérových nástrojoch a útočnej kampani boli zverejnené v správe výskumníkov malvéru.

Po analýze kódu, názvu triedy a kľúčových reťazcov registra MortalKombat Ransomware výskumníci s vysokou istotou dospeli k záveru, že hrozba patrí do rodiny ransomvéru Xorist . Tento kmeň ransomvéru je známy tým, že používa silné šifrovacie algoritmy na zašifrovanie súborov obete a potom žiada zaplatenie výkupného výmenou za dešifrovací kľúč.

Viacstupňový infekčný reťazec nasadzujúci ransomvér MortalKombat

Útočná kampaň zvyčajne začína phishingovým e-mailom. Útočníci zvyčajne doručujú buď malvér alebo ransomvér prostredníctvom e-mailu a potom pokračujú v zakrývaní stôp odstránením všetkých dôkazov o poškodených súboroch. To sťažuje výskumníkom spoločnosti Infosec analýzu operácie.

Počiatočný phishingový e-mail obsahuje kompromitovaný súbor ZIP, ktorý obsahuje skript zavádzača BAT. E-mail s návnadou je prezentovaný, ako keby pochádzal z legitímnej globálnej kryptomenovej brány CoinPayments. Samozrejme, entita nie je žiadnym spôsobom spojená s týmito e-mailovými správami.
Okrem toho, aby ešte viac oklamali svoje ciele, e-maily majú sfalšovaný e-mail odosielateľa.

Keď obeť otvorí skript zavádzača, automaticky stiahne ďalší škodlivý súbor ZIP z hostiteľského servera kontrolovaného útočníkom do počítača obete. Skript potom nafúkne súbor a spustí užitočné zaťaženie. Užitočné zaťaženie môže byť buď GO variant Laplas Clipper malwa alebo MortalKombat Ransomware.

Skript zavádzača spustí nasadené užitočné zaťaženie ako proces na počítači obete a potom odstráni všetky stiahnuté a zahodené nebezpečné súbory, aby sa eliminovali značky infekcie.

Ohrozujúce schopnosti ransomvéru MortalKombat

O tvorcoch MortalKombat Ransomware alebo ich operačnej stratégii sa vie len málo. Názov ransomvéru aj tapeta, ktorú umiestni na systém obete, sú prikývnutím na populárnu mediálnu franšízu Mortal Kombat, ktorá zahŕňa sériu videohier a filmov.

MortalKombat má schopnosť šifrovať širokú škálu súborov na počítači obete, vrátane systému, aplikácie, databázy, zálohy, súborov virtuálneho počítača, ako aj súborov na vzdialených miestach mapovaných ako logické disky. Po zašifrovaní súborov zahodí výkupné a zmení tapetu na počítači obete. MortalKombat však nezobrazuje žiadne správanie stierača ani nevymazáva tieňové kópie zväzku na počítači obete. Namiesto toho poškodí Prieskumníka systému Windows, odstráni priečinky a aplikácie zo spustenia systému Windows a zakáže príkazové okno Spustiť, čím sa počítač stane nefunkčným.

Kyberzločinci stojaci za hrozbou používajú na komunikáciu so svojimi obeťami qTOX, populárnu aplikáciu na odosielanie okamžitých správ dostupnú na GitHub. Okrem toho poskytujú e-mailovú adresu – „hack3dlikeapro[at]proton[.]me“, ako alternatívny spôsob komunikácie.

Celkovo je MortalKombat vysoko hrozivý ransomvér, ktorý môže spôsobiť vážne poškodenie strojov obetí a viesť k strate cenných údajov. Mali by ste zostať ostražití voči takýmto hrozbám a prijať proaktívne opatrenia na zabezpečenie systémov pred útokmi ransomware.