MortalKombat Ransomware

Od decembra 2022 neznani akter grožnje uporablja dva razmeroma nova grozeča programa – izsiljevalsko programsko opremo MortalKombat in različico GO zlonamerne programske opreme Laplas Clipper – za zbiranje kriptovalut od svojih žrtev. Napadalec skenira internet za ranljivimi stroji z izpostavljenimi vrati 3389 protokola za oddaljeno namizje (RDP), ki jih nato uporabi za pridobitev nepooblaščenega dostopa do sistema žrtve. Da bi olajšal ta napad, je napadalec uporabil enega od njihovih strežnikov za prenos, ki gosti tudi izsiljevalsko programsko opremo MortalKombat. Podrobnosti o uporabljenih orodjih zlonamerne programske opreme in kampanji napada so bile objavljene v poročilu raziskovalcev zlonamerne programske opreme.

Po analizi kode, imena razreda in nizov registrskega ključa izsiljevalske programske opreme MortalKombat so raziskovalci z veliko zanesljivostjo ugotovili, da grožnja pripada družini izsiljevalske programske opreme Xorist . Ta vrsta izsiljevalske programske opreme je znana po tem, da uporablja močne šifrirne algoritme za šifriranje datotek žrtve in nato zahteva plačilo odkupnine v zameno za ključ za dešifriranje.

Večstopenjska veriga okužb z uporabo izsiljevalske programske opreme MortalKombat

Kampanja napada se običajno začne z lažnim e-poštnim sporočilom. Napadalci običajno po e-pošti dostavijo zlonamerno programsko opremo ali izsiljevalsko programsko opremo, nato pa nadaljujejo s prikrivanjem sledi z brisanjem vseh dokazov o poškodovanih datotekah. Zaradi tega raziskovalci infosec težko analizirajo delovanje.

Začetno e-poštno sporočilo z lažnim predstavljanjem vsebuje ogroženo datoteko ZIP, ki ima nalagalni skript BAT. Vabljivo e-poštno sporočilo je predstavljeno, kot da prihaja iz zakonitega globalnega prehoda za kriptovalute CoinPayments. Seveda entiteta ni na noben način povezana s temi e-poštnimi sporočili.
Poleg tega imajo e-poštna sporočila ponarejen e-poštni naslov pošiljatelja, da še bolj preslepijo svoje tarče.

Ko žrtev odpre nalagalni skript, samodejno prenese drugo zlonamerno datoteko ZIP iz gostiteljskega strežnika, ki ga nadzoruje napadalec, na žrtvin stroj. Skript nato napihne datoteko in izvede obremenitev. Tovor je lahko različica GO malwa Laplas Clipper ali izsiljevalska programska oprema MortalKombat.

Skript nalagalnika zažene razporejeno koristno obremenitev kot proces na računalniku žrtve in nato odstrani vse prenesene in odvržene nevarne datoteke, da odstrani označevalce okužbe.

Nevarne zmožnosti izsiljevalske programske opreme MortalKombat

Malo je znanega o ustvarjalcih MortalKombat Ransomware ali njihovi operativni strategiji. Tako ime izsiljevalske programske opreme kot ozadje, ki ga prikaže v sistemu žrtve, je naklon priljubljeni medijski franšizi Mortal Kombat, ki vključuje vrsto video iger in filmov.

MortalKombat ima možnost šifriranja širokega nabora datotek na žrtvinem računalniku, vključno s sistemom, aplikacijo, bazo podatkov, varnostno kopijo, datotekami virtualnega stroja, pa tudi datotekami na oddaljenih lokacijah, preslikanih kot logični pogoni. Po šifriranju datotek spusti obvestilo o odkupnini in spremeni ozadje na žrtvinem računalniku. Vendar MortalKombat ne prikaže vedenja brisalcev ali izbriše kopij senčnih nosilcev na žrtvinem računalniku. Namesto tega poškoduje Windows Explorer, odstrani mape in aplikacije iz zagona sistema Windows in onemogoči ukazno okno Zaženi, zaradi česar stroj ne deluje.

Kibernetski kriminalci, ki stojijo za grožnjo, uporabljajo qTOX, priljubljeno aplikacijo za neposredno sporočanje, ki je na voljo na GitHubu, za komunikacijo s svojimi žrtvami. Poleg tega ponujajo e-poštni naslov - 'hack3dlikeapro[at]proton[.]me,' kot alternativno sredstvo komunikacije.

Na splošno je MortalKombat zelo nevarna izsiljevalska programska oprema, ki lahko povzroči resno škodo na strojih žrtev in povzroči izgubo dragocenih podatkov. Morate ostati pozorni na takšne grožnje in sprejeti proaktivne ukrepe za zaščito sistemov pred napadi izsiljevalske programske opreme.