MortalKombat Fidye Yazılımı
Aralık 2022'den bu yana kimliği belirsiz bir tehdit aktörü, kurbanlarından kripto para toplamak için nispeten yeni iki tehdit programı kullanıyor: MortalKombat Ransomware ve Laplas Clipper kötü amaçlı yazılımının bir GO çeşidi. Saldırgan, daha sonra kurbanın sistemine yetkisiz erişim elde etmek için kullandığı uzak masaüstü protokolü (RDP) bağlantı noktası 3389'a sahip güvenlik açığı bulunan makineler için İnternet'i tarıyor. Saldırgan, bu saldırıyı kolaylaştırmak için MortalKombat Fidye Yazılımını da barındıran indirme sunucularından birini kullandı. Kullanılan kötü amaçlı yazılım araçları ve saldırı kampanyasıyla ilgili ayrıntılar, kötü amaçlı yazılım araştırmacıları tarafından hazırlanan bir raporda yayınlandı.
Araştırmacılar, MortalKombat Fidye Yazılımının kodunu, sınıf adını ve Kayıt defteri anahtar dizelerini analiz ettikten sonra, tehdidin Xorist fidye yazılımı ailesine ait olduğu konusunda büyük bir güvenle sonuca vardılar. Bu fidye yazılımı türü, kurbanın dosyalarını şifrelemek için güçlü şifreleme algoritmaları kullanması ve ardından şifre çözme anahtarı karşılığında fidye ödemesi istemesiyle bilinir.
MortalKombat Fidye Yazılımını Dağıtan Çok Aşamalı Enfeksiyon Zinciri
Saldırı kampanyası tipik olarak bir kimlik avı e-postasıyla başlar. Saldırganlar genellikle e-posta yoluyla kötü amaçlı yazılım veya fidye yazılımı gönderir ve ardından bozuk dosyaların tüm kanıtlarını silerek izlerini örtmeye devam eder. Bu, bilgi güvenliği araştırmacılarının operasyonu analiz etmesini zorlaştırıyor.
İlk kimlik avı e-postası, BAT yükleyici komut dosyası içeren güvenliği ihlal edilmiş bir ZIP dosyası içerir. Yem e-postası, meşru küresel kripto para birimi ağ geçidi CoinPayments'tan geliyormuş gibi sunulur. Tabii ki, varlık bu e-posta mesajlarıyla hiçbir şekilde bağlantılı değildir.
Ek olarak, hedeflerini daha fazla kandırmak için e-postalarda sahte bir gönderen e-postası bulunur.
Kurban yükleyici komut dosyasını açtığında, saldırgan tarafından kontrol edilen bir barındırma sunucusundan kurbanın makinesine otomatik olarak başka bir kötü amaçlı ZIP dosyası indirir. Betik daha sonra dosyayı şişirir ve yükü yürütür. Yük, Laplas Clipper malwa'nın GO varyantı veya MortalKombat Ransomware olabilir.
Yükleyici betiği, dağıtılan yükü kurbanın makinesinde bir işlem olarak çalıştırır ve ardından bulaşma işaretlerini ortadan kaldırmak için indirilen ve bırakılan tüm güvenli olmayan dosyaları kaldırır.
MortalKombat Fidye Yazılımının Tehdit Edici Yetenekleri
MortalKombat Ransomware yaratıcıları veya operasyonel stratejileri hakkında çok az şey biliniyor. Hem fidye yazılımının adı hem de kurbanın sistemine bıraktığı duvar kağıdı, bir dizi video oyunu ve filmi içeren popüler Mortal Kombat medya serisine gönderme yapıyor.
MortalKombat, kurbanın makinesindeki sistem, uygulama, veritabanı, yedekleme, sanal makine dosyaları ve mantıksal sürücüler olarak eşlenen uzak konumlardaki dosyalar dahil olmak üzere çok çeşitli dosyaları şifreleme yeteneğine sahiptir. Bir fidye notu bırakır ve dosyaları şifreledikten sonra kurbanın makinesindeki duvar kağıdını değiştirir. Ancak MortalKombat, kurbanın makinesinde herhangi bir silici davranışı göstermez veya Gölge Birim Kopyalarını silmez. Bunun yerine, Windows Gezgini'ni bozar, Windows başlangıcındaki klasörleri ve uygulamaları kaldırır ve Çalıştır komut penceresini devre dışı bırakarak makineyi çalışmaz hale getirir.
Tehdidin arkasındaki siber suçlular, kurbanlarıyla iletişim kurmak için GitHub'da bulunan popüler bir anlık mesajlaşma uygulaması olan qTOX'u kullanıyor. Ek olarak, alternatif bir iletişim aracı olarak bir e-posta adresi - 'hack3dlikeapro[at]proton[.]me' sağlarlar.
Genel olarak MortalKombat, kurbanların makinelerinde ciddi hasara neden olabilen ve değerli verilerin kaybolmasına neden olabilen, oldukça tehditkar bir fidye yazılımıdır. Bu tür tehditlere karşı uyanık kalmalı ve sistemleri fidye yazılımı saldırılarına karşı korumak için proaktif önlemler almalısınız.
