Cyberattaque

Le nouveau ransomware “MortalKombat” cible les systèmes aux États-Unis.

Par Philippe Ternision , le 14 février 2023 , mis à jour le 14 février 2023 - 4 minutes de lecture
ransomware mortal kombat
AccueilActusCyberattaqueLe nouveau ransomware “MortalKombat” cible les systèmes aux États-Unis.
Notez l'article

Le logiciel malveillant connu sous le nom de “MortalKombat” est utilisé dans des cyberattaques par des pirates engagés dans une nouvelle campagne à visée financière.

Les deux infections par des logiciels malveillants sont utilisées pour commettre des fraudes financières ; Laplas est utilisé pour voler des crypto-monnaies en interceptant des transactions en crypto-monnaies, et le ransomware est utilisé pour contraindre les victimes à recevoir un décrypteur.

Laplas est un pirate de crypto-monnaies publié l’année dernière qui recherche les adresses de crypto-monnaies dans le presse-papiers de Windows et les remplace par des adresses sous le contrôle de l’attaquant lorsqu’il en trouve.

Selon Cisco Talos, MortalKombat est construit sur la famille de ransomware de commodité Xorist, qui emploie un constructeur permettant aux acteurs de la menace de modifier le malware. Depuis 2016, Xorist peut être décrypté sans frais.

Code similarities between Xorist and MortalKombat
Similitudes de code entre Xorist et MortalKombat (Cisco)

La majorité des victimes des attaques que les chercheurs de Talos ont vues étaient américaines, bien qu’il y en ait également au Royaume-Uni, en Turquie et aux Philippines.

Victim heatmap
Carte thermique des victimes (Cisco)

Attaques de phishing

L’e-mail contient une pièce jointe ZIP malveillante qui télécharge un deuxième paquet depuis une source distante à l’aide d’un script BAT loader. La première des deux charges utiles du malware est contenue dans ce paquet.

Pour réduire la probabilité d’être découvert, le script de chargement supprime les fichiers téléchargés après avoir exécuté la charge utile téléchargée en tant que processus dans le système compromis.

Sample of the phishing email
Exemple d’email de phishing (Cisco)

Le message électronique contient une pièce jointe ZIP malveillante qui, lorsqu’elle est visualisée, télécharge un deuxième paquet à partir d’une ressource distante via un script BAT loader. La première des deux charges utiles du malware est contenue dans ce paquet.

Afin de réduire la probabilité de découverte, le script de chargement supprime d’abord les fichiers téléchargés avant d’exécuter la charge utile téléchargée en tant que processus dans le système compromis.

The campaign's infection flow
Flux d’infection de la campagne (Cisco)

Le ransomware MortalKombat

Une note de rançon/un fond d’écran pour la souche de ransomware Xorist appelée MortalKombat présente des illustrations de la franchise populaire de jeux vidéo de combat. Il a été initialement identifié en janvier 2023.

Comme il vise également les fichiers système et les applications, qui sont souvent évités pour empêcher le système de devenir instable, les analystes de Talos affirment que ce ransomware spécifique n’est pas très intelligent.

All file types targeted by the ransomware
Tous les types de fichiers visés par le ransomware (Cisco)

Selon le document, “Talos a constaté que MortalKombat chiffre différents fichiers sur le système de fichiers de la machine de la victime, tels que les fichiers système, d’application, de base de données, de sauvegarde et de machine virtuelle, ainsi que les fichiers sur les destinations distantes mappées en tant que lecteurs logiques dans la machine de la victime.”

“Lors du processus de chiffrement, il dépose la note de rançon et modifie le fond d’écran de la machine cible.”

Ransom note on wallpaper
Note de rançon sur le fond d’écran (Cisco)

Le fond d’écran sert également de note de rançon, indiquant à l’utilisateur de communiquer avec les pirates en utilisant le programme de messagerie instantanée qTOX basé sur Tor et de les payer en bitcoins.

Si la victime a des difficultés à créer un nouveau compte sur qTOX, le pirate donne en plus une adresse électronique ProtonMail.

Bien que MortalKombat n’ait pas de capacité d’effacement, il désactive la fenêtre de commande d’exécution de Windows, efface toutes les entrées de démarrage de Windows et corrompt les répertoires du système, comme la corbeille, afin que les victimes ne puissent pas y récupérer de fichiers.

Corrupted recycle bin
Corruption de la cor beille (Cisco)

En outre, le ransomware modifie le registre Windows, supprimant la clé de registre racine de l’application installée dans la ruche de registre HKEY CLASSES ROOT tout en établissant une clé de registre Run (“Alcmeter”) pour la persistance.

Comme les instructions, les icônes et les informations d’association de fichiers de chaque type de fichier sont stockées dans la ruche HKEY CLASSES ROOT, la suppression de ces entrées entraîne l’arrêt du fonctionnement des programmes.

La méthodologie opérationnelle du ransomware MortalKombat, ainsi que la question de savoir s’il s’agit d’une souche sur mesure créée par un seul acteur de la menace ou distribuée à d’autres cybercriminels comme Laplas, sont inconnues des analystes de Cisco.

 

Vues 97

Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.