MortalKombat-Ransomware

Seit Dezember 2022 verwendet ein nicht identifizierter Angreifer zwei relativ neue Bedrohungsprogramme – die MortalKombat Ransomware und eine GO-Variante der Laplas Clipper -Malware – um Kryptowährung von ihren Opfern zu sammeln. Der Angreifer hat das Internet nach verwundbaren Computern mit einem exponierten RDP-Port 3389 (Remote Desktop Protocol) durchsucht, den er dann verwendet, um sich unbefugten Zugriff auf das System des Opfers zu verschaffen. Um diesen Angriff zu erleichtern, nutzte der Angreifer einen seiner Download-Server, der auch die MortalKombat Ransomware hostet. Details zu den verwendeten Malware-Tools und der Angriffskampagne wurden in einem Bericht von Malware-Forschern veröffentlicht.

Bei der Analyse des Codes, des Klassennamens und der Zeichenfolgen der Registrierungsschlüssel der MortalKombat Ransomware kamen die Forscher mit hoher Zuversicht zu dem Schluss, dass die Bedrohung zur Ransomware-Familie Xorist gehört. Dieser Ransomware-Stamm ist dafür bekannt, dass er starke Verschlüsselungsalgorithmen verwendet, um die Dateien des Opfers zu verschlüsseln und dann eine Lösegeldzahlung im Austausch für den Entschlüsselungsschlüssel zu verlangen.

Die mehrstufige Infektionskette beim Einsatz der MortalKombat Ransomware

Die Angriffskampagne beginnt normalerweise mit einer Phishing-E-Mail. Die Angreifer liefern normalerweise entweder Malware oder Ransomware über die E-Mail und verwischen dann ihre Spuren, indem sie alle Beweise für die beschädigten Dateien löschen. Dies macht es für Infosec-Forscher schwierig, die Operation zu analysieren.

Die erste Phishing-E-Mail enthält eine kompromittierte ZIP-Datei mit einem BAT-Loader-Skript. Die Köder-E-Mail wird so dargestellt, als käme sie vom legitimen globalen Kryptowährungs-Gateway CoinPayments. Natürlich ist die Entität in keiner Weise mit diesen E-Mail-Nachrichten verbunden.
Um ihre Ziele weiter zu täuschen, haben die E-Mails außerdem eine gefälschte Absender-E-Mail.

Wenn das Opfer das Ladeskript öffnet, lädt es automatisch eine weitere schädliche ZIP-Datei von einem vom Angreifer kontrollierten Hosting-Server auf den Computer des Opfers herunter. Das Skript bläst dann die Datei auf und führt die Nutzdaten aus. Die Payload kann entweder die GO-Variante von Laplas Clipper Malwa oder die MortalKombat Ransomware sein.

Das Ladeskript führt die bereitgestellte Nutzlast als Prozess auf dem Computer des Opfers aus und entfernt dann alle heruntergeladenen und abgelegten unsicheren Dateien, um Infektionsmarker zu beseitigen.

Die Bedrohungsfähigkeiten der MortalKombat Ransomware

Über die Macher von MortalKombat Ransomware oder ihre Betriebsstrategie ist wenig bekannt. Sowohl der Name der Ransomware als auch das Hintergrundbild, das sie auf dem System des Opfers ablegt, sind eine Anspielung auf das beliebte Medien-Franchise Mortal Kombat, das eine Reihe von Videospielen und Filmen umfasst.

MortalKombat ist in der Lage, eine Vielzahl von Dateien auf dem Computer des Opfers zu verschlüsseln, darunter System-, Anwendungs-, Datenbank-, Backup-, virtuelle Maschinendateien sowie Dateien an entfernten Standorten, die als logische Laufwerke abgebildet sind. Es hinterlässt eine Lösegeldforderung und ändert das Hintergrundbild auf dem Computer des Opfers, nachdem die Dateien verschlüsselt wurden. Allerdings zeigt MortalKombat kein Wiper-Verhalten an und löscht auch keine Volumenschattenkopien auf dem Rechner des Opfers. Stattdessen beschädigt es den Windows Explorer, entfernt Ordner und Anwendungen aus dem Windows-Start und deaktiviert das Befehlsfenster Ausführen, wodurch der Computer funktionsunfähig wird.

Die Cyberkriminellen hinter der Bedrohung verwenden qTOX, eine beliebte Instant-Messaging-Anwendung, die auf GitHub verfügbar ist, um mit ihren Opfern zu kommunizieren. Zusätzlich stellen sie eine E-Mail-Adresse – „hack3dlikeapro[at]proton[.]me“ – als alternatives Kommunikationsmittel bereit.

Insgesamt ist MortalKombat eine äußerst bedrohliche Ransomware, die schwere Schäden an den Computern der Opfer verursachen und zum Verlust wertvoller Daten führen kann. Sie sollten gegenüber solchen Bedrohungen wachsam bleiben und proaktive Maßnahmen ergreifen, um Systeme vor Ransomware-Angriffen zu schützen.