MortalKombat Ransomware

Mula noong Disyembre 2022, isang hindi kilalang threat actor ang gumagamit ng dalawang medyo bagong pagbabanta na programa - ang MortalKombat Ransomware at isang GO variant ng Laplas Clipper malware - upang mangolekta ng cryptocurrency mula sa kanilang mga biktima. Ini-scan ng attacker ang Internet para sa mga vulnerable machine na may exposed remote desktop protocol (RDP) port 3389, na pagkatapos ay ginagamit nila upang makakuha ng hindi awtorisadong access sa system ng biktima. Upang mapadali ang pag-atake na ito, ginamit ng umaatake ang isa sa kanilang mga download server, na nagho-host din ng MortalKombat Ransomware. Ang mga detalye tungkol sa mga ginamit na tool sa malware at ang kampanya sa pag-atake ay inilabas sa isang ulat ng mga mananaliksik ng malware.

Sa pagsusuri sa code, pangalan ng klase, at Registry key string ng MortalKombat Ransomware, ang mga mananaliksik ay nagtapos nang may mataas na kumpiyansa na ang banta ay kabilang sa Xorist na pamilya ng ransomware. Ang ransomware strain na ito ay kilala sa paggamit ng malalakas na encryption algorithm upang i-encrypt ang mga file ng biktima at pagkatapos ay humihingi ng ransom payment kapalit ng decryption key.

Ang Multi-Stage Infection Chain na Nagde-deploy ng MortalKombat Ransomware

Ang kampanya sa pag-atake ay karaniwang nagsisimula sa isang phishing na email. Ang mga umaatake ay karaniwang naghahatid ng alinman sa malware o ransomware sa pamamagitan ng email at pagkatapos ay magpatuloy upang takpan ang kanilang mga track sa pamamagitan ng pagtanggal ng anumang ebidensya ng mga sirang file. Ginagawa nitong mahirap para sa mga mananaliksik ng infosec na suriin ang operasyon.

Ang unang email ng phishing ay naglalaman ng isang nakompromisong ZIP file na mayroong script ng BAT loader. Ang pang-akit na email ay ipinakita na parang nagmumula sa lehitimong pandaigdigang cryptocurrency gateway na CoinPayments. Siyempre, hindi konektado ang entity sa mga email na mensaheng ito.
Bukod pa rito, para lalo pang lokohin ang kanilang mga target, ang mga email ay mayroong spoofed na email ng nagpadala.

Kapag binuksan ng biktima ang script ng loader, awtomatiko itong nagda-download ng isa pang nakakahamak na ZIP file mula sa isang server ng pagho-host na kontrolado ng attacker papunta sa makina ng biktima. Ang script pagkatapos ay inflates ang file at executes ang payload. Ang payload ay maaaring ang GO variant ng Laplas Clipper malwa o ang MortalKombat Ransomware.

Pinapatakbo ng script ng loader ang naka-deploy na payload bilang isang proseso sa makina ng biktima at pagkatapos ay inaalis ang anumang na-download at na-drop na hindi ligtas na mga file upang maalis ang mga marker ng impeksyon.

Ang Mga Kakayahang Nagbabanta ng MortalKombat Ransomware

Kaunti ang nalalaman tungkol sa mga tagalikha ng MortalKombat Ransomware o sa kanilang diskarte sa pagpapatakbo. Parehong ang pangalan ng ransomware at ang wallpaper na ibinabagsak nito sa system ng biktima ay isang tango sa sikat na Mortal Kombat media franchise, na kinabibilangan ng serye ng mga video game at pelikula.

Ang MortalKombat ay may kakayahang mag-encrypt ng malawak na hanay ng mga file sa makina ng biktima, kabilang ang system, application, database, backup, virtual machine file, pati na rin ang mga file sa malalayong lokasyong nakamapang bilang mga lohikal na drive. Nag-drop ito ng ransom note at binago ang wallpaper sa makina ng biktima pagkatapos i-encrypt ang mga file. Gayunpaman, ang MortalKombat ay hindi nagpapakita ng anumang gawi ng wiper o nagtatanggal ng Shadow Volume Copies sa makina ng biktima. Sa halip, sinisira nito ang Windows Explorer, inaalis ang mga folder at application mula sa pagsisimula ng Windows, at hindi pinapagana ang Run command window, na ginagawang hindi gumagana ang makina.

Ang mga cybercriminal sa likod ng banta ay gumagamit ng qTOX, isang sikat na instant messaging application na available sa GitHub, upang makipag-ugnayan sa kanilang mga biktima. Bukod pa rito, nagbibigay sila ng email address - 'hack3dlikeapro[at]proton[.]me,' bilang alternatibong paraan ng komunikasyon.

Sa pangkalahatan, ang MortalKombat ay isang lubhang nagbabantang ransomware na maaaring magdulot ng matinding pinsala sa mga makina ng mga biktima at magresulta sa pagkawala ng mahalagang data. Dapat kang manatiling mapagbantay laban sa mga naturang pagbabanta at gumawa ng mga proactive na hakbang upang ma-secure ang mga system laban sa mga pag-atake ng ransomware.