La empresa rumana de ciberseguridad Bitdefender ha lanzado un descifrador universal gratuito para un incipiente malware de cifrado de archivos conocido como MortalKombat.
MortalKombat es una nueva cepa de ransomware que surgió en enero de 2023. Se basa en un producto ransomware denominado Xorist y se ha observado en ataques dirigidos a entidades en los Estados Unidos, Filipinas, el Reino Unido y Turquía.
Xorist, detectado desde 2010, se distribuye como un generador de ransomware, lo que permite a los actores de amenazas cibernéticas crear y personalizar su propia versión del malware.
Esto incluye la nota de rescate, el nombre del archivo de la nota de rescate, la lista de extensiones de archivo objetivo, el fondo de pantalla que se utilizará y la extensión que se utilizará en los archivos cifrados. Un descifrador para Xorist fue puesto a disposición por Emsisoft en mayo de 2016.
MortalKombat se implementó notablemente en ataques recientes montados por un actor de amenazas motivado financieramente sin nombre como parte de una campaña de phishing dirigida a una amplia gama de organizaciones.
«MortalKombat cifra varios archivos en el sistema de archivos de la máquina víctima, como archivos de sistema, aplicación, base de datos, copia de seguridad y máquina virtual, así como archivos en las ubicaciones remotas mapeadas como unidades lógicas en la máquina de la víctima», reveló Cisco Talos a principios de este mes.
Aunque el ransomware no exhibe un comportamiento de limpiador ni elimina instantáneas de volumen, daña el Explorador de Windows, deshabilita la ventana de comando Ejecutar y elimina todas las aplicaciones y carpetas del inicio de Windows.
También se sabe que corrompe los archivos eliminados en la carpeta Papelera de reciclaje y altera los nombres y tipos de archivo y realiza modificaciones en el Registro de Windows para lograr la persistencia. Los actores de amenazas detrás de la campaña y su modelo operativo aún se desconocen.
«Basado en el ransomware Xorist, MortalKombat se propaga a través de correos electrónicos de phishing y apunta a instancias RDP expuestas», dijo Bitdefender. «El malware se planta a través del BAT Loader que también entrega el malware Laplas Clipper«.
MortalKombat no es la única variante Xorist que ha surgido en el panorama de amenazas en los últimos meses. En noviembre de 2022, Fortinet FortiGuard Labs reveló otra versión que deja una nota de rescate en español.
El desarrollo también se produce poco más de un mes después de que Avast publicara un descifrador gratuito para el ransomware BianLian para ayudar a las víctimas del malware a recuperar archivos bloqueados sin tener que pagar a los actores de amenazas.
Fuente: https://thehackernews.com