MortalKombat Ransomware
Që nga dhjetori 2022, një aktor i paidentifikuar kërcënimi ka përdorur dy programe relativisht të reja kërcënuese - MortalKombat Ransomware dhe një variant GO të malware Laplas Clipper - për të mbledhur kriptovaluta nga viktimat e tyre. Sulmuesi ka skanuar internetin për makina të cenueshme me një port të ekspozuar të protokollit të desktopit në distancë (RDP) 3389, të cilin më pas e përdorin për të fituar akses të paautorizuar në sistemin e viktimës. Për të lehtësuar këtë sulm, sulmuesi përdori një nga serverët e tij të shkarkimit, i cili gjithashtu pret MortalKombat Ransomware. Detajet rreth mjeteve të përdorura të malware dhe fushatës së sulmit u publikuan në një raport nga studiuesit e malware.
Pas analizimit të kodit, emrit të klasës dhe vargjeve kryesore të Regjistrit të MortalKombat Ransomware, studiuesit arritën në përfundimin me besim të lartë se kërcënimi i përket familjes së ransomware-ve Xorist . Ky lloj ransomware është i njohur për përdorimin e algoritmeve të forta të enkriptimit për të kriptuar skedarët e viktimës dhe më pas duke kërkuar një pagesë shpërblimi në këmbim të çelësit të deshifrimit.
Zinxhiri i Infeksionit me Shumë Faza që vendos Shpërblim MortalKombat
Fushata e sulmit zakonisht fillon me një email phishing. Sulmuesit zakonisht dërgojnë ose malware ose ransomware përmes emailit dhe më pas vazhdojnë të mbulojnë gjurmët e tyre duke fshirë çdo dëshmi të skedarëve të korruptuar. Kjo e bën të vështirë për studiuesit e infosec që të analizojnë operacionin.
Emaili fillestar i phishing përmban një skedar ZIP të komprometuar që ka një skript ngarkues BAT. Email-i i joshjes paraqitet sikur vjen nga porta e ligjshme globale e kriptomonedhës CoinPayments. Natyrisht, entiteti nuk është në asnjë mënyrë i lidhur me këto mesazhe emaili.
Për më tepër, për të mashtruar më tej objektivat e tyre, emailet kanë një email dërguesi të falsifikuar.
Kur viktima hap skriptin e ngarkuesit, ajo shkarkon automatikisht një skedar tjetër ZIP keqdashës nga një server pritës i kontrolluar nga sulmuesi në makinën e viktimës. Skripti më pas fryn skedarin dhe ekzekuton ngarkesën. Ngarkesa mund të jetë ose varianti GO i Laplas Clipper malwa ose MortalKombat Ransomware.
Skripti i ngarkuesit ekzekuton ngarkesën e vendosur si një proces në makinën e viktimës dhe më pas heq çdo skedar të pasigurt të shkarkuar dhe të hedhur për të eliminuar shënuesit e infeksionit.
Aftësitë kërcënuese të MortalKombat Ransomware
Dihet pak për krijuesit e MortalKombat Ransomware ose strategjinë e tyre operacionale. Si emri i ransomware-it ashtu edhe sfondi që lëshon në sistemin e viktimës është një shenjë e ekskluzivitetit të medias popullore Mortal Kombat, e cila përfshin një seri videolojërash dhe filmash.
MortalKombat ka aftësinë për të enkriptuar një gamë të gjerë skedarësh në makinën e viktimës, duke përfshirë sistemin, aplikacionin, bazën e të dhënave, kopjen rezervë, skedarët e makinës virtuale, si dhe skedarët në vendndodhje të largëta të hartuara si disqe logjike. Ai lëshon një shënim shpërblimi dhe ndryshon sfondin në kompjuterin e viktimës pas enkriptimit të skedarëve. Megjithatë, MortalKombat nuk shfaq asnjë sjellje të fshirësit ose nuk fshin kopjet e volumit të hijes në makinën e viktimës. Në vend të kësaj, ai korrupton Windows Explorer, heq dosjet dhe aplikacionet nga fillimi i Windows dhe çaktivizon dritaren e komandës Run, duke e bërë makinën të pafuqishme.
Kriminelët kibernetikë pas kërcënimit përdorin qTOX, një aplikacion popullor i mesazheve të çastit i disponueshëm në GitHub, për të komunikuar me viktimat e tyre. Për më tepër, ata ofrojnë një adresë emaili - 'hack3dlikeapro[at]proton[.]me' si një mjet alternativ komunikimi.
Në përgjithësi, MortalKombat është një ransomware shumë kërcënues që mund të shkaktojë dëme të rënda në makinat e viktimave dhe të rezultojë në humbjen e të dhënave të vlefshme. Ju duhet të qëndroni vigjilentë ndaj kërcënimeve të tilla dhe të merrni masa proaktive për të siguruar sistemet kundër sulmeve të ransomware.
