MortalKombat : un nouveau ransomware repéré par Cisco Talos

Selon de récentes découvertes de Cisco Talos, des cybercriminels conduisent actuellement une campagne dont les victimes sont appâtées avec des courriels de phishing utilisant des cryptopépettes pour thème, avant de déployer un nouveau ransomware susceptible d’être lié à la famille Xorist, vieille de dix ans.

Dans un billet de blog publié mardi, Chetan Raghuprasad, chercheur en menaces au sein du Talos Intelligence Group de Cisco, a détaillé cette campagne à motivation financière active depuis décembre 2022. 

Durant les attaques, les cybercriminels ont utilisé une nouvelle variante de ransomware nommée MortalKombat et une version récemment découverte du maliciel Laplas Clipper pour voler des cryptodevises à des victimes pour l’heure principalement basées aux États-Unis.

Si la souche de ransomware et le malware déployé sont peut-être plus récents dans le paysage des menaces, l’objectif de la campagne s’aligne sur des tendances familières.

« Talos continue de voir des campagnes ciblant des particuliers, des petites entreprises et des grandes organisations et visant à voler ou à exiger des paiements de rançon en cryptomonnaies », écrit Chetan Raghuprasad dans le billet de blog.

L’acteur malveillant non identifié aux commandes de cette campagne est actif depuis décembre dernier. Mais les chercheurs n’ont pas observé d’utilisation du ransomware MortalKombat dans les attaques avant janvier. Avant cela, d’autres charges utiles et logiciels malveillants, tels qu’une variante GO de Laplas Clipper, étaient utilisés. Laplas Clipper a été découvert en novembre 2022 et appartient à la famille de maliciels Clipper, connue pour cibler les utilisateurs de cryptomonnaies.

Comme régulièrement dans les cyberattaques débouchant sur le déclenchement de ransomware, les assaillants profitent de services exposés directement sur Internet.

« Talos a observé que l’acteur scanne Internet à la recherche de machines exposant leur port 3389 (utilisé par le protocole de déport d’affichage RDP), en s’appuyant sur l’un de ses serveurs de téléchargement qui exécutent un crawler RDP et facilitent également le ransomware MortalKombat », écrit Chetan Raghuprasad dans le blog.

Les attaques commencent alors par un e-mail de phishing qui usurpe l’identité de CoinPayments, une passerelle de paiement en cryptomonnaies légitimes. Bien que CoinPayments ne soit plus disponible pour les utilisateurs américains, la campagne a largement ciblé les victimes situées aux États-Unis. On ignore quels types d’entreprises sont visés par cette campagne.