MortalKombat Ransomware
Kể từ tháng 12 năm 2022, một tác nhân đe dọa không xác định đã sử dụng hai chương trình đe dọa tương đối mới - MortalKombat Ransomware và một biến thể GO của phần mềm độc hại Laplas Clipper - để thu thập tiền điện tử từ nạn nhân của chúng. Kẻ tấn công đã quét Internet để tìm các máy dễ bị tấn công bằng cổng 3389 của giao thức máy tính từ xa (RDP) bị lộ, sau đó chúng sử dụng cổng này để giành quyền truy cập trái phép vào hệ thống của nạn nhân. Để tạo điều kiện cho cuộc tấn công này, kẻ tấn công đã sử dụng một trong các máy chủ tải xuống của chúng, nơi cũng lưu trữ Phần mềm tống tiền MortalKombat. Chi tiết về các công cụ phần mềm độc hại được sử dụng và chiến dịch tấn công đã được các nhà nghiên cứu phần mềm độc hại công bố trong một báo cáo.
Sau khi phân tích mã, tên lớp và chuỗi khóa Registry của MortalKombat Ransomware, các nhà nghiên cứu đã kết luận với độ tin cậy cao rằng mối đe dọa này thuộc họ ransomware Xorist . Loại ransomware này được biết đến với việc sử dụng các thuật toán mã hóa mạnh để mã hóa các tệp của nạn nhân và sau đó yêu cầu thanh toán tiền chuộc để đổi lấy khóa giải mã.
Chuỗi lây nhiễm nhiều giai đoạn triển khai phần mềm tống tiền MortalKombat
Chiến dịch tấn công thường bắt đầu bằng một email lừa đảo. Những kẻ tấn công thường gửi phần mềm độc hại hoặc ransomware qua email, sau đó tiến hành che dấu vết của chúng bằng cách xóa mọi bằng chứng về các tệp bị hỏng. Điều này gây khó khăn cho các nhà nghiên cứu infosec trong việc phân tích hoạt động.
Email lừa đảo ban đầu chứa tệp ZIP bị xâm phạm có tập lệnh trình tải BAT. Email thu hút được trình bày như thể đến từ cổng tiền điện tử toàn cầu hợp pháp CoinPayments. Tất nhiên, thực thể không có cách nào kết nối với các email này.
Ngoài ra, để tiếp tục đánh lừa các mục tiêu của họ, các email có một email người gửi giả mạo.
Khi nạn nhân mở tập lệnh trình tải, nó sẽ tự động tải xuống một tệp ZIP độc hại khác từ máy chủ lưu trữ do kẻ tấn công kiểm soát vào máy của nạn nhân. Sau đó, tập lệnh sẽ thổi phồng tệp và thực thi tải trọng. Tải trọng có thể là biến thể GO của Laplas Clipper malwa hoặc MortalKombat Ransomware.
Tập lệnh trình tải chạy tải trọng đã triển khai như một quy trình trên máy của nạn nhân, sau đó xóa mọi tệp không an toàn đã tải xuống và bị xóa để loại bỏ các dấu hiệu lây nhiễm.
Khả năng đe dọa của phần mềm tống tiền MortalKombat
Người ta biết rất ít về những kẻ tạo ra MortalKombat Ransomware hoặc chiến lược hoạt động của chúng. Cả tên của ransomware và hình nền mà nó xuất hiện trên hệ thống của nạn nhân đều liên quan đến thương hiệu truyền thông Mortal Kombat nổi tiếng, bao gồm một loạt trò chơi điện tử và phim ảnh.
MortalKombat có khả năng mã hóa nhiều loại tệp trên máy của nạn nhân, bao gồm hệ thống, ứng dụng, cơ sở dữ liệu, bản sao lưu, tệp máy ảo, cũng như các tệp trên các vị trí từ xa được ánh xạ dưới dạng ổ đĩa logic. Nó gửi một ghi chú đòi tiền chuộc và thay đổi hình nền trên máy của nạn nhân sau khi mã hóa các tệp. Tuy nhiên, MortalKombat không hiển thị bất kỳ hành vi gạt hoặc xóa Bản sao Âm lượng Bóng tối nào trên máy của nạn nhân. Thay vào đó, nó làm hỏng Windows Explorer, xóa các thư mục và ứng dụng khỏi quá trình khởi động Windows, đồng thời vô hiệu hóa cửa sổ lệnh Run, khiến máy không thể hoạt động.
Tội phạm mạng đứng sau mối đe dọa sử dụng qTOX, một ứng dụng nhắn tin tức thời phổ biến có sẵn trên GitHub, để liên lạc với nạn nhân của chúng. Ngoài ra, họ cung cấp một địa chỉ email - 'hack3dlikeapro[at]proton[.]me,' như một phương tiện liên lạc thay thế.
Nhìn chung, MortalKombat là một phần mềm tống tiền có tính đe dọa cao, có thể gây ra thiệt hại nghiêm trọng cho máy của nạn nhân và dẫn đến mất dữ liệu có giá trị. Bạn nên cảnh giác trước những mối đe dọa như vậy và chủ động thực hiện các biện pháp để bảo vệ hệ thống khỏi các cuộc tấn công của mã độc tống tiền.
