Ngày 28 tháng 2 năm 2023Ravie Lakshmanan
Công ty an ninh mạng Rumani Bitdefender đã phát hành một bộ giải mã miễn phí cho một chủng ransomware mới được gọi là MortalKombat.
MortalKombat là một chủng ransomware mới xuất hiện vào tháng 1 năm 2023. Nó dựa trên ransomware thương mại có tên là Xorist và đã được quan sát thấy trong các cuộc tấn công nhắm vào các thực thể ở Hoa Kỳ, Philippines, Vương quốc Anh và Thổ Nhĩ Kỳ.
Xorist, được phát hiện từ năm 2010, được phân phối dưới dạng trình tạo ransomware, cho phép các tác nhân đe dọa mạng tạo và tùy chỉnh phiên bản phần mềm độc hại của riêng chúng.
Điều này bao gồm ghi chú đòi tiền chuộc, tên tệp của ghi chú đòi tiền chuộc, danh sách các phần mở rộng tệp được nhắm mục tiêu, hình nền sẽ được sử dụng và phần mở rộng sẽ được sử dụng trên các tệp được mã hóa.
Đáng chú ý là MortalKombat đã được triển khai trong các cuộc tấn công gần đây do một tác nhân đe dọa có động cơ tài chính giấu tên thực hiện như một phần của chiến dịch lừa đảo nhằm vào nhiều tổ chức.
“MortalKombat mã hóa các tệp khác nhau trên hệ thống tệp của máy nạn nhân, chẳng hạn như tệp hệ thống, ứng dụng, cơ sở dữ liệu, bản sao lưu và máy ảo, cũng như các tệp trên các vị trí từ xa được ánh xạ dưới dạng ổ đĩa logic trong máy của nạn nhân”, Cisco Talos tiết lộ hồi đầu tháng này .
Mặc dù phần mềm tống tiền không thể hiện hành vi gạt hoặc xóa các bản sao bóng ổ đĩa, nhưng nó làm hỏng Windows Explorer, vô hiệu hóa cửa sổ lệnh Run và xóa tất cả các ứng dụng và thư mục khỏi khởi động Windows.
Nó cũng được biết là làm hỏng các tệp đã xóa trong thư mục Thùng rác và thay đổi tên và loại tệp cũng như thực hiện các sửa đổi Windows Registry để đạt được sự bền bỉ. Các tác nhân đe dọa đằng sau chiến dịch và mô hình hoạt động của chúng vẫn chưa được biết.
Bitdefender cho biết: “Dựa trên ransomware Xorist, MortalKombat lây lan qua các email lừa đảo và nhắm mục tiêu các phiên bản RDP bị lộ”. “Phần mềm độc hại được cài đặt thông qua BAT Loader cũng mang phần mềm độc hại Laplas Clipper.”
MortalKombat không phải là biến thể Xorist duy nhất xuất hiện trong bối cảnh các mối đe dọa trong vài tháng qua. Vào tháng 11 năm 2022, Fortinet FortiGuard Labs đã tiết lộ một phiên bản khác có ghi chú tiền chuộc bằng tiếng Tây Ban Nha.
Sự phát triển cũng diễn ra hơn một tháng sau khi Avast xuất bản một bộ giải mã miễn phí cho ransomware BianLian để giúp nạn nhân của phần mềm độc hại khôi phục các tệp bị khóa mà không phải trả tiền cho các tác nhân đe dọa.
