Mortal Kombat ransomware
Desde diciembre de 2022, un actor de amenazas no identificado ha estado utilizando dos programas amenazantes relativamente nuevos, el MortalKombat Ransomware y una variante GO del malware Laplas Clipper , para recolectar criptomonedas de sus víctimas. El atacante ha estado escaneando Internet en busca de máquinas vulnerables con un puerto 3389 de protocolo de escritorio remoto (RDP) expuesto, que luego usa para obtener acceso no autorizado al sistema de la víctima. Para facilitar este ataque, el atacante usó uno de sus servidores de descarga, que también aloja el MortalKombat Ransomware. Los detalles sobre las herramientas de malware utilizadas y la campaña de ataque se publicaron en un informe de los investigadores de malware.
Tras analizar el código, el nombre de la clase y las cadenas de clave de registro del MortalKombat Ransomware, los investigadores concluyeron con mucha certeza que la amenaza pertenece a la familia de ransomware Xorist . Esta variedad de ransomware es conocida por usar fuertes algoritmos de encriptación para encriptar los archivos de la víctima y luego solicitar el pago de un rescate a cambio de la clave de desencriptación.
La cadena de infección de múltiples etapas que implementa el ransomware MortalKombat
La campaña de ataque generalmente comienza con un correo electrónico de phishing. Los atacantes generalmente entregan malware o ransomware a través del correo electrónico y luego proceden a cubrir sus huellas eliminando cualquier evidencia de los archivos dañados. Esto dificulta que los investigadores de infosec analicen la operación.
El correo electrónico de phishing inicial contiene un archivo ZIP comprometido que tiene un script de carga BAT. El correo electrónico señuelo se presenta como si viniera de la puerta de enlace de criptomoneda global legítima CoinPayments. Por supuesto, la entidad no está conectada de ninguna manera con estos mensajes de correo electrónico.
Además, para engañar aún más a sus objetivos, los correos electrónicos tienen un correo electrónico de remitente falsificado.
Cuando la víctima abre el script del cargador, automáticamente descarga otro archivo ZIP malicioso desde un servidor de alojamiento controlado por el atacante a la máquina de la víctima. Luego, el script infla el archivo y ejecuta la carga útil. La carga útil puede ser la variante GO de Laplas Clipper malwa o MortalKombat Ransomware.
El script del cargador ejecuta la carga útil implementada como un proceso en la máquina de la víctima y luego elimina los archivos no seguros descargados y colocados para eliminar los marcadores de infección.
Las capacidades amenazantes del ransomware MortalKombat
Poco se sabe sobre los creadores de MortalKombat Ransomware o su estrategia operativa. Tanto el nombre del ransomware como el fondo de pantalla que deja caer en el sistema de la víctima es un guiño a la popular franquicia de medios Mortal Kombat, que incluye una serie de videojuegos y películas.
MortalKombat tiene la capacidad de encriptar una amplia gama de archivos en la máquina de la víctima, incluido el sistema, la aplicación, la base de datos, la copia de seguridad, los archivos de la máquina virtual, así como los archivos en ubicaciones remotas asignadas como unidades lógicas. Deja caer una nota de rescate y cambia el fondo de pantalla en la máquina de la víctima después de cifrar los archivos. Sin embargo, MortalKombat no muestra ningún comportamiento de limpieza ni elimina las instantáneas de volumen en la máquina de la víctima. En cambio, corrompe el Explorador de Windows, elimina carpetas y aplicaciones del inicio de Windows y desactiva la ventana de comando Ejecutar, lo que hace que la máquina no funcione.
Los ciberdelincuentes detrás de la amenaza utilizan qTOX, una popular aplicación de mensajería instantánea disponible en GitHub, para comunicarse con sus víctimas. Además, proporcionan una dirección de correo electrónico: 'hack3dlikeapro[at]proton[.]me', como medio alternativo de comunicación.
En general, MortalKombat es un ransomware altamente amenazante que puede causar daños graves a las máquinas de las víctimas y provocar la pérdida de datos valiosos. Debe permanecer atento a tales amenazas y tomar medidas proactivas para proteger los sistemas contra los ataques de ransomware.
