MortalKombat Ransomware
Depuis décembre 2022, un acteur malveillant non identifié utilise deux programmes menaçants relativement nouveaux - le MortalKombat Ransomware et une variante GO du malware Laplas Clipper - pour collecter la crypto-monnaie de leurs victimes. L'attaquant a scanné Internet à la recherche de machines vulnérables avec un port 3389 de protocole de bureau à distance (RDP) exposé, qu'il utilise ensuite pour obtenir un accès non autorisé au système de la victime. Pour faciliter cette attaque, l'attaquant a utilisé l'un de ses serveurs de téléchargement, qui héberge également MortalKombat Ransomware. Des détails sur les outils malveillants utilisés et la campagne d'attaque ont été publiés dans un rapport de chercheurs sur les logiciels malveillants.
Après avoir analysé le code, le nom de la classe et les chaînes de clé de registre du MortalKombat Ransomware, les chercheurs ont conclu avec une grande confiance que la menace appartient à la famille Xorist de ransomware. Cette souche de ransomware est connue pour utiliser des algorithmes de cryptage puissants pour crypter les fichiers de la victime, puis demander le paiement d'une rançon en échange de la clé de décryptage.
La chaîne d'infection en plusieurs étapes Déploiement du rançongiciel MortalKombat
La campagne d'attaque commence généralement par un e-mail de phishing. Les attaquants envoient généralement des logiciels malveillants ou des rançongiciels par e-mail, puis procèdent à la couverture de leurs traces en supprimant toute preuve des fichiers corrompus. Il est donc difficile pour les chercheurs d'infosec d'analyser l'opération.
L'e-mail de phishing initial contient un fichier ZIP compromis contenant un script de chargeur BAT. L'e-mail leurre est présenté comme s'il provenait de la passerelle mondiale légitime de crypto-monnaie CoinPayments. Bien entendu, l'entité n'est en aucun cas liée à ces e-mails.
De plus, pour tromper davantage leurs cibles, les e-mails ont un e-mail d'expéditeur usurpé.
Lorsque la victime ouvre le script de chargement, il télécharge automatiquement un autre fichier ZIP malveillant à partir d'un serveur d'hébergement contrôlé par l'attaquant sur la machine de la victime. Le script gonfle ensuite le fichier et exécute la charge utile. La charge utile peut être soit la variante GO de Laplas Clipper malwa, soit le MortalKombat Ransomware.
Le script de chargement exécute la charge utile déployée en tant que processus sur la machine de la victime, puis supprime tous les fichiers dangereux téléchargés et déposés pour éliminer les marqueurs d'infection.
Les capacités menaçantes du rançongiciel MortalKombat
On sait peu de choses sur les créateurs de MortalKombat Ransomware ou sur leur stratégie opérationnelle. Le nom du rançongiciel et le fond d'écran qu'il dépose sur le système de la victime sont un clin d'œil à la populaire franchise médiatique Mortal Kombat, qui comprend une série de jeux vidéo et de films.
MortalKombat a la capacité de chiffrer un large éventail de fichiers sur la machine de la victime, y compris le système, l'application, la base de données, la sauvegarde, les fichiers de la machine virtuelle, ainsi que les fichiers sur des emplacements distants mappés en tant que lecteurs logiques. Il laisse tomber une note de rançon et change le fond d'écran sur la machine de la victime après avoir crypté les fichiers. Cependant, MortalKombat n'affiche aucun comportement d'essuie-glace ni ne supprime les clichés instantanés de volume sur la machine de la victime. Au lieu de cela, il corrompt l'Explorateur Windows, supprime les dossiers et les applications du démarrage de Windows et désactive la fenêtre de commande Exécuter, rendant la machine inutilisable.
Les cybercriminels à l'origine de la menace utilisent qTOX, une application de messagerie instantanée populaire disponible sur GitHub, pour communiquer avec leurs victimes. De plus, ils fournissent une adresse e-mail - "hack3dlikeapro[at]proton[.]me", comme moyen de communication alternatif.
Dans l'ensemble, MortalKombat est un ransomware très menaçant qui peut causer de graves dommages aux machines des victimes et entraîner la perte de données précieuses. Vous devez rester vigilant face à ces menaces et prendre des mesures proactives pour sécuriser les systèmes contre les attaques de ransomwares.
