MortalKombat แรนซัมแวร์

ตั้งแต่เดือนธันวาคม 2022 ผู้ก่อภัยคุกคามที่ไม่ปรากฏชื่อได้ใช้โปรแกรมคุกคามที่ค่อนข้างใหม่สองโปรแกรม ได้แก่ MortalKombat Ransomware และมัลแวร์ Laplas Clipper รุ่น GO เพื่อรวบรวม cryptocurrency จากเหยื่อ ผู้โจมตีได้สแกนอินเทอร์เน็ตเพื่อหาเครื่องที่มีช่องโหว่ด้วยพอร์ต 3389 ของเดสก์ท็อประยะไกล (RDP) ที่เปิดเผย ซึ่งพวกเขาใช้เพื่อเข้าถึงระบบของเหยื่อโดยไม่ได้รับอนุญาต เพื่ออำนวยความสะดวกในการโจมตีนี้ ผู้โจมตีใช้หนึ่งในเซิร์ฟเวอร์ดาวน์โหลดของตน ซึ่งเป็นโฮสต์ของ MortalKombat Ransomware รายละเอียดเกี่ยวกับเครื่องมือมัลแวร์ที่ใช้และแคมเปญโจมตีเผยแพร่ในรายงานโดยนักวิจัยมัลแวร์

เมื่อวิเคราะห์โค้ด ชื่อคลาส และสตริงคีย์ Registry ของ MortalKombat Ransomware นักวิจัยสรุปด้วยความมั่นใจอย่างสูงว่าภัยคุกคามดังกล่าวเป็นของแรนซัมแวร์ตระกูล Xorist แรนซัมแวร์สายพันธุ์นี้เป็นที่รู้จักจากการใช้อัลกอริธึมการเข้ารหัสที่รัดกุมเพื่อเข้ารหัสไฟล์ของเหยื่อ จากนั้นจึงขอให้จ่ายค่าไถ่เพื่อแลกกับคีย์ถอดรหัส

ห่วงโซ่การติดเชื้อหลายขั้นตอนปรับใช้ MortalKombat Ransomware

แคมเปญโจมตีมักเริ่มต้นด้วยอีเมลฟิชชิง ผู้โจมตีมักจะส่งมัลแวร์หรือแรนซัมแวร์ผ่านทางอีเมล จากนั้นจึงดำเนินการปกปิดรอยทางด้วยการลบหลักฐานใดๆ ของไฟล์ที่เสียหาย ทำให้นักวิจัยของ infosec วิเคราะห์การดำเนินการได้ยาก

อีเมลฟิชชิ่งเริ่มต้นประกอบด้วยไฟล์ ZIP ที่ถูกบุกรุกซึ่งมีสคริปต์ตัวโหลด BAT อีเมลหลอกลวงถูกนำเสนอราวกับว่ามาจาก CoinPayments เกตเวย์ cryptocurrency ทั่วโลกที่ถูกกฎหมาย แน่นอนว่าเอนทิตีไม่ได้เชื่อมต่อกับข้อความอีเมลเหล่านี้
นอกจากนี้ เพื่อหลอกล่อเป้าหมาย อีเมลเหล่านี้มีอีเมลปลอมของผู้ส่ง

เมื่อเหยื่อเปิดสคริปต์ตัวโหลด มันจะดาวน์โหลดไฟล์ ZIP ที่เป็นอันตรายอีกไฟล์หนึ่งโดยอัตโนมัติจากเซิร์ฟเวอร์โฮสต์ที่ควบคุมโดยผู้โจมตีไปยังเครื่องของเหยื่อ จากนั้นสคริปต์จะขยายไฟล์และดำเนินการเพย์โหลด เพย์โหลดสามารถเป็นตัวแปร GO ของ Laplas Clipper malwa หรือ MortalKombat Ransomware

สคริปต์ตัวโหลดเรียกใช้เพย์โหลดที่ปรับใช้เป็นกระบวนการบนเครื่องของเหยื่อ จากนั้นจึงลบไฟล์ที่ไม่ปลอดภัยที่ดาวน์โหลดและทิ้งออกเพื่อกำจัดตัวทำเครื่องหมายการติดไวรัส

ความสามารถที่เป็นอันตรายของ MortalKombat Ransomware

ไม่ค่อยมีใครรู้เกี่ยวกับผู้สร้าง MortalKombat Ransomware หรือกลยุทธ์การดำเนินงานของพวกเขา ทั้งชื่อของแรนซั่มแวร์และวอลเปเปอร์ที่มันหยดลงบนระบบของเหยื่อเป็นการยกย่องแฟรนไชส์สื่อยอดนิยมของ Mortal Kombat ซึ่งประกอบด้วยวิดีโอเกมและภาพยนตร์หลายชุด

MortalKombat มีความสามารถในการเข้ารหัสไฟล์ที่หลากหลายบนเครื่องของเหยื่อ รวมถึงระบบ แอปพลิเคชัน ฐานข้อมูล การสำรองข้อมูล ไฟล์เครื่องเสมือน และไฟล์บนตำแหน่งระยะไกลที่แมปเป็นโลจิคัลไดรฟ์ มันทิ้งข้อความเรียกค่าไถ่และเปลี่ยนวอลเปเปอร์บนเครื่องของเหยื่อหลังจากเข้ารหัสไฟล์ อย่างไรก็ตาม MortalKombat จะไม่แสดงพฤติกรรมไวเปอร์หรือลบ Shadow Volume Copies บนเครื่องของเหยื่อ แต่จะทำให้ Windows Explorer เสียหาย ลบโฟลเดอร์และแอปพลิเคชันออกจากการเริ่มต้นระบบ Windows และปิดใช้งานหน้าต่างคำสั่ง Run ทำให้เครื่องใช้งานไม่ได้

อาชญากรไซเบอร์ที่อยู่เบื้องหลังภัยคุกคามใช้ qTOX ซึ่งเป็นแอปพลิเคชันส่งข้อความโต้ตอบแบบทันทียอดนิยมที่มีอยู่ใน GitHub เพื่อสื่อสารกับเหยื่อของพวกเขา นอกจากนี้ พวกเขาให้ที่อยู่อีเมล - 'hack3dlikeapro[at]proton[.]me' เป็นวิธีการสื่อสารทางเลือก

โดยรวมแล้ว MortalKombat เป็นแรนซัมแวร์ที่คุกคามอย่างมากซึ่งสามารถสร้างความเสียหายอย่างรุนแรงต่อเครื่องของเหยื่อและทำให้ข้อมูลที่มีค่าสูญหาย คุณควรระมัดระวังต่อภัยคุกคามดังกล่าวและใช้มาตรการเชิงรุกเพื่อรักษาความปลอดภัยระบบจากการโจมตีของแรนซัมแวร์