MortalKombat Ransomware

Sedan december 2022 har en oidentifierad hotaktör använt två relativt nya hotfulla program - MortalKombat Ransomware och en GO-variant av Laplas Clipper malware - för att samla in kryptovaluta från sina offer. Angriparen har skannat Internet efter sårbara maskiner med en exponerad RDP-port (Remote Desktop Protocol) 3389, som de sedan använder för att få obehörig åtkomst till offrets system. För att underlätta denna attack använde angriparen en av deras nedladdningsservrar, som också är värd för MortalKombat Ransomware. Detaljer om de använda malware-verktygen och attackkampanjen släpptes i en rapport från malware-forskare.

Efter att ha analyserat koden, klassnamnet och registernyckelsträngarna för MortalKombat Ransomware, drog forskarna slutsatsen med hög tillförsikt att hotet tillhör Xorist -familjen av ransomware. Denna ransomware-stam är känd för att använda starka krypteringsalgoritmer för att kryptera offrets filer och sedan be om en lösensumma i utbyte mot dekrypteringsnyckeln.

Flerstegsinfektionskedjan som distribuerar MortalKombat Ransomware

Attackkampanjen börjar vanligtvis med ett nätfiskemeddelande. Angriparna levererar vanligtvis antingen skadlig programvara eller ransomware via e-post och fortsätter sedan att dölja sina spår genom att radera eventuella bevis på de korrupta filerna. Detta gör det svårt för infosec-forskare att analysera verksamheten.

Det första nätfiske-e-postmeddelandet innehåller en komprometterad ZIP-fil som har ett BAT-laddningsskript. Lockmeddelandet presenteras som om det kommer från den legitima globala kryptovalutaporten CoinPayments. Naturligtvis är enheten inte på något sätt kopplad till dessa e-postmeddelanden.
Dessutom, för att ytterligare lura sina mål, har e-postmeddelandena en falsk avsändar-e-post.

När offret öppnar loader-skriptet laddar det automatiskt ned en annan skadlig ZIP-fil från en angriparkontrollerad värdserver till offrets dator. Skriptet blåser sedan upp filen och kör nyttolasten. Nyttolasten kan antingen vara GO-varianten av Laplas Clipper malwa eller MortalKombat Ransomware.

Lastarskriptet kör den utplacerade nyttolasten som en process på offrets dator och tar sedan bort alla nedladdade och släppta osäkra filer för att eliminera infektionsmarkörer.

De hotande funktionerna hos MortalKombat Ransomware

Lite är känt om skaparna av MortalKombat Ransomware eller deras operativa strategi. Både namnet på ransomware och tapeten som det släpper på offrets system är en vink till den populära Mortal Kombat-medieserien, som inkluderar en serie videospel och filmer.

MortalKombat har förmågan att kryptera ett brett utbud av filer på offrets maskin, inklusive system, applikation, databas, säkerhetskopiering, virtuella maskinfiler, samt filer på avlägsna platser mappade som logiska enheter. Den släpper en lösennota och ändrar tapeten på offrets dator efter att ha krypterat filerna. MortalKombat visar dock inget torkarbeteende eller raderar Shadow Volume Copies på offrets dator. Istället korrumperar det Windows Utforskaren, tar bort mappar och program från Windows-starten och inaktiverar kommandofönstret Kör, vilket gör maskinen obrukbar.

De cyberkriminella bakom hotet använder qTOX, en populär snabbmeddelandeapplikation som finns på GitHub, för att kommunicera med sina offer. Dessutom tillhandahåller de en e-postadress - "hack3dlikeapro[at]proton[.]me", som ett alternativt kommunikationsmedel.

Sammantaget är MortalKombat ett mycket hotande ransomware som kan orsaka allvarlig skada på offrens maskiner och resultera i förlust av värdefull data. Du bör vara vaksam mot sådana hot och vidta proaktiva åtgärder för att säkra system mot ransomware-attacker.