Araştırmacılar, “zaman aşımına uğrayan” ve yeniden gönderilmesi gereken bir ödemeyi not almanızı isteyen kripto para birimi temalı bir e-postanın son haftalarda ortalıkta dolaştığını tespit etti. Bu e-postalar, Mortal Kombat fidye yazılımını ve Laplas Clipper kötü amaçlı yazılımını dağıtmak için iki tür kötü amaçlı dosya kullanıyor.
Araştırmacılara göre, hedefler ya şifrelenmiş dosyaların kilidini açmak için bir ödeme talebi alabilir ya da kripto para birimi ayrıntıları sistem panosundan çalınabilir.
Saldırılar Aralık 2022’den beri devam ediyor ve belirli bir hedef olmaksızın bireyleri, küçük ve büyük kuruluşları etkiledi. Bulaşma zinciri, kötü amaçlı bir ek içeren bir e-posta ile başlar.
MortalKombat Ransomware ve Laplas Clipper: Birlikte çalışan iki tehdit
Cisco Talos’taki araştırmacılar, Aralık 2022’den beri kurbanlardan kripto para birimi çalmak için MortalKombat fidye yazılımı ve Laplas Clipper kötü amaçlı yazılım GO varyantını kullanan kimliği belirsiz bir aktörü izliyor.
Saldırgan, açıktaki bir uzak masaüstü protokolü bağlantı noktasıyla kurbanları hedefliyor ve indirme sunucularından birini RDP tarayıcısı çalıştırmak ve MortalKombat fidye yazılımını dağıtmak için kullanıyor.
Kurbanlar, küçük ve büyük kuruluşların yanı sıra bireyleri içerir. Saldırgan, bulaşma zincirini başlatmak için e-postalardaki kötü amaçlı ekleri dağıtır; bu, şifrelenmiş dosyaların kilidini açmak için ödeme talebiyle veya sistem panosundan kripto para ayrıntılarının çalınmasıyla sonuçlanabilir.
Bulaşma zinciri, bir ödemenin “zaman aşımına uğradığı” ve yeniden gönderilmesi gerekeceği iddiasıyla cezbeden kötü amaçlı bir eki barındıran kripto para birimi temalı bir e-posta ile başlar.
“E-posta, yürütüldüğünde bulaşma sürecini başlatan bir BAT yükleyici içeren şüpheli bir zip ekiyle birlikte geliyor. MalwareByte Labs tarafından hazırlanan bir tehdit değerlendirme raporunda, BAT yükleyici, iki URL’den birinden fidye yazılımının veya kötü amaçlı yazılım kırpıcının indirilmesi ve yürütülmesiyle sonuçlanan bir olaylar zincirini başlatıyor.
Talos’a göre MortalKombat fidye yazılımı, kod, sınıf adı ve kayıt defteri anahtar dizilerindeki benzerliklere dayalı olarak Xorist ailesine ait.
MortalKombat Fidye Yazılımı: Çalışma modu
MortalKombat fidye yazılımı, kurbanın bilgisayarındaki sistem, uygulama, veritabanı, yedekleme, sanal makine dosyaları ve mantıksal sürücüler olarak eşlenen uzak konumlardaki dosyalar dahil olmak üzere çok çeşitli dosyaları şifrelemek için tasarlanmıştır.
Bu dosyaları şifrelemeye ek olarak, fidye yazılımı bir fidye notu bırakır ve kurbanın duvar kağıdını siber suçlularla müzakere etme talimatlarını gösterecek şekilde değiştirir.
Not, kurbana qTOX adlı Tor tabanlı bir anlık mesajlaşma uygulaması kullanmasını ve fidyeyi Bitcoin olarak ödemesini tavsiye ediyor. Kurban, qTOX’ta yeni bir hesap açmakta güçlük çekiyorsa, saldırgan bir ProtonMail e-posta adresi sağlar.
Bazı fidye yazılımı türlerinden farklı olarak, MortalKombat bir silme işlevine sahip değildir. Ancak, kurbanın dosyaları almasını engellemek için Geri Dönüşüm Kutusu gibi sistem klasörlerini bozar. Ayrıca Windows Çalıştır komut penceresini devre dışı bırakır ve Windows başlangıcından tüm girişleri kaldırır.
Kalıcılığı sağlamak için, fidye yazılımı “Alcmeter” adlı bir Run kayıt defteri anahtarı oluşturur ve HKEY_CLASSES_ROOT kayıt defteri kovanındaki yüklü uygulamanın kök kayıt defteri anahtarını siler. Bu girişleri silerek, uygulamalar artık çalışamaz.
MortalKombat fidye yazılımının arkasındaki siber suçlular, Windows panosunu kripto adresleri için izleyen ve bunları saldırganın kontrolü altındaki adreslerle değiştiren Laplas adlı bir kripto para korsanı da kullanıyor.
MortalKombat’ın yalnız bir tehdit aktörünün özel bir türü mü yoksa Laplas gibi diğer siber suçlulara mı satıldığı belli değil. Ancak MortalKombat, birden fazla ülkedeki bireyleri ve işletmeleri hedefleyen, finansal olarak motive edilmiş bir kampanyadır.
Fidye yazılımlarına ve diğer siber tehditlere karşı korunmak için şüpheli e-postalara, bağlantılara veya indirmelere karşı tetikte olmak ve sağlam güvenlik önlemleri uygulamak çok önemlidir. Bunu yaparak, siber suçluların kurbanı olma ve bir fidye yazılımı saldırısının yıkıcı sonuçlarına katlanma riskini azaltabilirsiniz.