MortalKombat ランサムウェア

2022 年 12 月以降、正体不明の脅威アクターが 2 つの比較的新しい脅威プログラム (MortalKombat ランサムウェアとLaplas Clipperマルウェアの GO 亜種) を使用して、被害者から暗号通貨を収集しています。攻撃者はインターネットをスキャンして、リモート デスクトップ プロトコル (RDP) ポート 3389 が公開されている脆弱なマシンを探し、それを使用して被害者のシステムへの不正アクセスを取得します。この攻撃を容易にするために、攻撃者は、MortalKombat ランサムウェアもホストしているダウンロード サーバーの 1 つを使用しました。利用されたマルウェア ツールと攻撃キャンペーンに関する詳細は、マルウェア研究者によるレポートで公開されました。

MortalKombat ランサムウェアのコード、クラス名、およびレジストリ キーの文字列を分析した結果、研究者はこの脅威がランサムウェアのXoristファミリーに属していると確信を持って結論付けました。このランサムウェアは、強力な暗号化アルゴリズムを使用して被害者のファイルを暗号化し、復号化キーと引き換えに身代金の支払いを要求することで知られています。

MortalKombat ランサムウェアを展開する多段階の感染チェーン

通常、攻撃キャンペーンはフィッシング メールから始まります。攻撃者は通常、電子メールを介してマルウェアまたはランサムウェアのいずれかを配信し、その後、破損したファイルの証拠を削除することで追跡を隠蔽します。これにより、情報セキュリティの研究者が操作を分析することが困難になります。

最初のフィッシング メールには、BAT ローダー スクリプトを含む侵害された ZIP ファイルが含まれています。おとりメールは、正規のグローバル暗号通貨ゲートウェイ CoinPayments から送信されたかのように表示されます。もちろん、エンティティはこれらの電子メール メッセージとはまったく関係がありません。
さらに、標的をさらにだますために、電子メールにはなりすましの送信者電子メールが含まれています。

被害者がローダー スクリプトを開くと、別の悪意のある ZIP ファイルが、攻撃者が制御するホスティング サーバーから被害者のマシンに自動的にダウンロードされます。次に、スクリプトはファイルを膨張させ、ペイロードを実行します。ペイロードは、マルウェア Laplas Clipper の GO 亜種または MortalKombat ランサムウェアのいずれかです。

ローダー スクリプトは、デプロイされたペイロードを被害者のマシンでプロセスとして実行し、ダウンロードおよびドロップされた安全でないファイルを削除して、感染マーカーを排除します。

MortalKombat ランサムウェアの脅威的な機能

MortalKombat ランサムウェアの作成者やその運用戦略についてはほとんど知られていません。ランサムウェアの名前と、ランサムウェアが被害者のシステムに落とす壁紙の両方が、一連のビデオ ゲームや映画を含む、人気のあるモータル コンバット メディア フランチャイズにうなずきます。

MortalKombat には、システム、アプリケーション、データベース、バックアップ、仮想マシン ファイル、および論理ドライブとしてマップされたリモート ロケーション上のファイルなど、被害者のマシン上のさまざまなファイルを暗号化する機能があります。ファイルを暗号化した後、身代金メモを投下し、被害者のマシンの壁紙を変更します。ただし、MortalKombat はワイパー動作を表示したり、被害者のマシンのシャドウ ボリューム コピーを削除したりしません。代わりに、Windows エクスプローラーを破損し、Windows スタートアップからフォルダーとアプリケーションを削除し、[ファイル名を指定して実行] コマンド ウィンドウを無効にして、マシンを操作不能にします。

この脅威の背後にいるサイバー犯罪者は、GitHub で入手できる人気のインスタント メッセージング アプリケーションである qTOX を使用して、被害者と通信します。さらに、代替の通信手段として、「hack3dlikeapro[at]proton[.]me」という電子メール アドレスを提供します。

全体として、MortalKombat は非常に脅威的なランサムウェアであり、被害者のマシンに深刻な損害を与え、貴重なデータを失う可能性があります。このような脅威に対して警戒を怠らず、ランサムウェア攻撃からシステムを保護するための事前対策を講じる必要があります。