Програма-вимагач MortalKombat

З грудня 2022 року невідомий зловмисник використовує дві відносно нові загрозливі програми – MortalKombat Ransomware і GO-варіант зловмисного програмного забезпечення Laplas Clipper – для отримання криптовалюти від своїх жертв. Зловмисник сканував Інтернет на наявність уразливих машин із відкритим портом 3389 протоколу віддаленого робочого столу (RDP), який потім використовував для отримання несанкціонованого доступу до системи жертви. Щоб полегшити цю атаку, зловмисник використав один із їхніх серверів завантаження, на якому також розміщено програму-вимагач MortalKombat. Подробиці про використані інструменти зловмисного програмного забезпечення та кампанію атаки були оприлюднені у звіті дослідників зловмисного програмного забезпечення.

Проаналізувавши код, назву класу та ключові рядки реєстру програми-вимагача MortalKombat, дослідники з високою впевненістю дійшли висновку, що загроза належить до сімейства програм-вимагачів Xorist . Цей штам програм-вимагачів відомий тим, що використовує надійні алгоритми шифрування для шифрування файлів жертви, а потім вимагає викупу в обмін на ключ дешифрування.

Багатоетапний ланцюг зараження, що розгортає програму-вимагач MortalKombat

Кампанія атаки зазвичай починається з фішингового електронного листа. Зловмисники зазвичай доставляють зловмисне програмне забезпечення або програми-вимагачі електронною поштою, а потім продовжують замести сліди, видаляючи будь-які докази пошкоджених файлів. Це ускладнює дослідникам інформаційної безпеки аналіз операції.

Початковий фішинговий електронний лист містить зламаний ZIP-файл із сценарієм завантаження BAT. Електронна пошта-приманка представлена так, ніби надходить із законного глобального шлюзу криптовалют CoinPayments. Звичайно, ця сутність жодним чином не пов’язана з цими повідомленнями електронної пошти.
Крім того, щоб ще більше обдурити своїх цілей, електронні листи мають підроблену електронну адресу відправника.

Коли жертва відкриває сценарій завантажувача, він автоматично завантажує інший шкідливий ZIP-файл із контрольованого зловмисником хостинг-сервера на комп’ютер жертви. Потім сценарій розповсюджує файл і виконує корисне навантаження. Корисним навантаженням може бути або варіант GO malwa Laplas Clipper, або програма-вимагач MortalKombat.

Сценарій завантажувача запускає розгорнуте корисне навантаження як процес на комп’ютері жертви, а потім видаляє всі завантажені та відкинуті небезпечні файли, щоб усунути маркери зараження.

Загрозливі можливості програми-вимагача MortalKombat

Мало що відомо про творців MortalKombat Ransomware або їх операційну стратегію. І назва програми-вимагача, і шпалери, які вона скидає на систему жертви, є нахилом до популярної медіа-франшизи Mortal Kombat, яка включає серію відеоігор і фільмів.

MortalKombat має можливість шифрувати широкий спектр файлів на машині жертви, включаючи файли системи, програми, бази даних, резервні копії, файли віртуальної машини, а також файли у віддалених місцях, зіставлених як логічні диски. Він надсилає записку про викуп і змінює шпалери на комп’ютері жертви після шифрування файлів. Однак MortalKombat не показує жодної поведінки очисників і не видаляє тіньові копії томів на комп’ютері жертви. Натомість він пошкоджує Провідник Windows, видаляє папки та програми з запуску Windows і вимикає вікно команди «Виконати», роблячи машину непрацездатною.

Кіберзлочинці, які стоять за загрозою, використовують qTOX, популярну програму обміну миттєвими повідомленнями, доступну на GitHub, для спілкування зі своїми жертвами. Крім того, вони надають адресу електронної пошти — «hack3dlikeapro[at]proton[.]me» як альтернативний засіб зв’язку.

Загалом MortalKombat є дуже небезпечною програмою-вимагачем, яка може завдати серйозної шкоди комп’ютерам жертв і призвести до втрати цінних даних. Ви повинні залишатися пильними щодо таких загроз і вживати профілактичних заходів для захисту систем від атак програм-вимагачів.