Организации США стали героями франшизы MortalKombat

Организации США стали героями франшизы MortalKombat

Компании стали новыми героями игры, став жертвой своих же ошибок.

image

Множество организаций в США, Великобритании, Турции и на Филиппинах стали жертвами новой программы-вымогателя, которую исследователи кибербезопасности назвали MortalKombat.

Специалисты Cisco Talos отслеживают неизвестную группировку, которая развернула MortalKombat, а также разработала новое вредоносное ПО для кражи криптовалюты под названием Laplas Clipper. Большинство жертв кампании были в США. Исследователи Cisco связали с кампанией два URL-адреса, один из которых ведет к C2-серверу в Польше.

MortalKombat впервые была обнаружена в январе 2023 года, и на данный момент о ее разработчиках и операционной модели ничего не известно. По словам аналитиков, название программы-вымогателя и обои, которые она сбрасывает на систему-жертву, являются отсылкой к медиа-франшизе Mortal Kombat.

Программа-вымогатель шифрует различные файлы в системе жертвы:

  • системные файлы;
  • файлы приложений;
  • файлы базы данных, резервных копий и виртуальных машин;
  • файлы в удаленных местах, отображаемые как логические диски.

Согласно отчёту Cisco Talos, группа вымогателей сканирует Интернет в поисках организаций, которые оставили RDP-протоколы открытыми. Таким образом, жертвами атак стали отдельные лица, компании малого бизнеса и крупные организации.

Другие атаки кампании начинаются с фишинговых писем, к которым прилагается ZIP-архив. При открытии вредоносное ПО Laplas Clipper или программа-вымогатель MortalKombat развертываются, а затем удаляются, чтобы замести следы и затруднить анализ.

В одном электронном письме хакеры выдавали себя за криптовалютную платформу CoinPayments. В письме ZIP-архив якобы содержал информацию о конкретной транзакции, побуждая жертву открыть его. При открытии архива запускается MortalKombat, меняет обои компьютера жертвы, приводит к сбою проводника Windows и удаляет некоторые приложения.

Записка от операторов MortalKombat

По словам исследователей, помимо других соответствий, сходство в коде указывает на то, что программа-вымогатель принадлежит к семейству Xorist, существующее с 2010 года. Простота настройки Xorist позволяет киберпреступникам создавать новые варианты с другими именами, расширениями файлов и записками о выкупе.

Эволюция вариантов семейства программ-вымогателей Xorist

Наряду с MortalKombat исследователи обнаружили вредоносное ПО Laplas Clipper, которое они ранее идентифицировали в атаке в ноябре 2022 года. В отличие от стандартных клиперов, которые просто меняют скопированный адрес кошелька получателя на адрес злоумышленника, Laplas Clipper использует адрес, очень похожий на тот, который скопировал пользователь. Этот процесс происходит на сервере злоумышленника, поэтому точный механизм остается неизвестным.

Примерно за неделю количество образцов Laplas Clipper выросло с 20 до 55 в день в конце октября. Тогда исследователи заключили, что Laplas Clipper распространяется через Smoke Loader и Raccoon Stealer, что указывает на повышенной внимание сообщества киберпреступников к этой программе. Разработчики MortalKombat и Laplas Clipper заявили в Telegram, что они делают новые варианты Laplas Clipper и планируют выпустить обновления в ближайшие месяцы.

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться