MortalKombatشرکت امنیت سایبری رومانیایی Bitdefender یک رمزگشای جهانی رایگان برای یک بدافزار نوپای رمزگذاری فایل‌ها به نام MortalKombat منتشر کرده است[۱].

MortalKombat یک نوع باج افزار جدید است که در ژانویه ۲۰۲۳ پدیدار شد. این باج افزار مبتنی بر یک باج افزار تجاری به نام Xorist است و در حملاتی که نهادها را در ایالات‌متحده، فیلیپین، بریتانیا و ترکیه هدف قرار می‌دهند مشاهده شده است.

Xorist که از سال ۲۰۱۰ شناسایی شده است[۲]، به‌عنوان سازنده باج افزار توزیع می‌شود و به عوامل تهدید سایبری اجازه می‌دهد تا نسخه خود را از بدافزار ایجاد و سفارشی کنند.

این شامل یادداشت باج، نام فایل یادداشت باج، فهرست پسوندهای فایل موردنظر، wallpaper مورداستفاده و پسوند مورداستفاده در فایل‌های رمزگذاری شده است. رمزگشایی برای Xorist توسط Emsisoft در می ۲۰۱۶ در دسترس قرار گرفت[۳].

MortalKombat به‌طور مشخص در حملات اخیر توسط یک عامل تهدیدکننده با انگیزه مالی ناشناس به‌عنوان بخشی از یک کمپین فیشینگ با هدف طیف گسترده‌ای از سازمان‌ها به کار گرفته شد.

Cisco Talos در اوایل این ماه فاش کرد[۴]: MortalKombat فایل‌های مختلف را روی سیستم فایل ماشین قربانی رمزگذاری می‌کند، مانند سیستم، برنامه، پایگاه داده، فایل‌های پشتیبان، و فایل‌های ماشین مجازی، و همچنین فایل‌های موجود در مکان‌های راه دور که به‌عنوان درایوهای منطقی در ماشین قربانی نقشه‌برداری شده‌اند.

MortalKombat

اگرچه باج‌افزار رفتار wiper یا کپی‌های volume shadow را حذف نمی‌کند اما Windows Explorer را خراب می‌کند، پنجره دستور Run را غیرفعال می‌کند و همه برنامه‌ها و پوشه‌ها را از راه‌اندازی ویندوز حذف می‌کند.

همچنین شناخته شده است که فایل‌های حذف‌شده در پوشه Recycle Bin را خراب می‌کند و نام و انواع فایل‌ها را تغییر می‌دهد و تغییرات رجیستری ویندوز را برای دستیابی به ماندگاری انجام می‌دهد. بازیگران تهدیدکننده این کمپین و مدل عملیاتی آن‌ها هنوز ناشناخته است.

Bitdefender گفت: «بر اساس باج‌افزار Xorist، MortalKombat از طریق ایمیل‌های فیشینگ پخش می‌شود و نمونه‌های RDP افشاشده را هدف قرار می‌دهد. این بدافزار از طریق بارگذار BAT که بدافزار Laplas Clipper را نیز ارائه می‌دهد[۵]، پیاده‌سازی می‌شود.”

MortalKombat تنها نوع Xorist نیست که در چند ماه گذشته در چشم‌انداز تهدید ظاهر شده است. در نوامبر ۲۰۲۲، Fortinet FortiGuard Labs نسخه دیگری را فاش کرد[۶] که یک یادداشت باج به زبان اسپانیایی به جا می‌گذارد.

این توسعه همچنین کمی بیش از یک ماه پس از انتشار[۷] یک رمزگشای رایگان برای باج‌افزار BianLian توسط Avast انجام شد تا به قربانیان بدافزار کمک کند تا فایل‌های قفل‌شده را بدون پرداخت هزینه به عوامل تهدید، بازیابی کنند.

منابع

[۱] https://apa.aut.ac.ir/?p=9302

[۲] https://en.wikipedia.org/wiki/Certificate_revocation_list

[۳] https://www.openssl.org/news/vulnerabilities.html

[۴] https://cwe.mitre.org/data/definitions/843.html

[۵] https://www.openssl.org/news/secadv/20230207.txt

[۶] https://nakedsecurity.sophos.com/2023/02/08/openssl-fixes-high-severity-data-stealing-bug-patch-now

[۷] https://thehackernews.com/2022/06/researchers-uncover-ways-to-break.html

[۸] https://thehackernews.com/2023/02/openssl-fixes-multiple-new-security.html