МорталКомбат Рансомваре

Од децембра 2022, неидентификовани актер претњи користи два релативно нова претећи програм - МорталКомбат Рансомваре и ГО варијанту Лаплас Цлиппер малвера - за прикупљање криптовалуте од својих жртава. Нападач је скенирао интернет у потрази за рањивим машинама са изложеним портом 3389 протокола удаљене радне површине (РДП), који затим користе за неовлашћени приступ систему жртве. Да би олакшао овај напад, нападач је користио један од њихових сервера за преузимање, који такође садржи МорталКомбат Рансомваре. Детаљи о коришћеним алатима малвера и кампањи напада објављени су у извештају истраживача малвера.

Након анализе кода, назива класе и низова кључева регистра МорталКомбат Рансомваре-а, истраживачи су са великом сигурношћу закључили да претња припада породици рансомвера Ксорист. Овај сој рансомваре-а је познат по томе што користи снажне алгоритме за шифровање за шифровање датотека жртве, а затим тражи плаћање откупнине у замену за кључ за дешифровање.

Вишестепени ланац заразе који примењује МорталКомбат Рансомваре

Кампања напада обично почиње са пхисхинг е-поштом. Нападачи обично испоручују или малвер или рансомваре путем е-поште, а затим настављају да прикривају своје трагове брисањем свих доказа о оштећеним датотекама. Ово отежава истраживачима инфосеца да анализирају операцију.

Иницијална пхисхинг порука е-поште садржи компромитовану ЗИП датотеку која има скрипту за учитавање БАТ-а. Е-пошта за мамце је представљена као да долази са легитимног глобалног мрежног пролаза за криптовалуте ЦоинПаиментс. Наравно, ентитет није ни на који начин повезан са овим порукама е-поште.
Поред тога, да би додатно заварали своје мете, е-поруке имају лажну е-пошту пошиљаоца.

Када жртва отвори скрипту за учитавање, она аутоматски преузима другу злонамерну ЗИП датотеку са сервера за хостовање који контролише нападач на машину жртве. Скрипта затим надувава датотеку и извршава корисни терет. Корисно оптерећење може бити или ГО варијанта Лаплас Цлиппер малва или МорталКомбат Рансомваре.

Скрипта за учитавање покреће распоређени корисни терет као процес на машини жртве, а затим уклања све преузете и испуштене небезбедне датотеке да би елиминисао маркере инфекције.

Претеће могућности МорталКомбат Рансомваре-а

Мало се зна о креаторима МорталКомбат Рансомваре-а или њиховој оперативној стратегији. И назив рансомваре-а и позадина коју испушта на систем жртве је знак популарне медијске франшизе Мортал Комбат, која укључује серију видео игара и филмова.

МорталКомбат има могућност да шифрује широк спектар датотека на жртвиној машини, укључујући систем, апликацију, базу података, резервне копије, датотеке виртуелне машине, као и датотеке на удаљеним локацијама мапираним као логичке диск јединице. Испушта поруку о откупнини и мења позадину на жртвиној машини након шифровања датотека. Међутим, МорталКомбат не приказује понашање брисача нити брише копије сенки на жртвиној машини. Уместо тога, квари Виндовс Екплорер, уклања фасцикле и апликације из покретања Виндовс-а и онемогућава командни прозор Покрени, чинећи машину нефункционалном.

Сајбер-криминалци који стоје иза претње користе кТОКС, популарну апликацију за размену тренутних порука доступну на ГитХуб-у, да комуницирају са својим жртвама. Поред тога, дају адресу е-поште – „хацк3дликеапро[ат]протон[.]ме“, као алтернативно средство комуникације.

Све у свему, МорталКомбат је веома опасан рансомваре који може да изазове озбиљну штету машинама жртава и да резултира губитком вредних података. Требало би да останете на опрезу против таквих претњи и да предузмете проактивне мере за заштиту система од напада рансомвера.