Getty Images/iStockphoto
MortalKombat : un nouveau ransomware repéré par Cisco Talos
Les acteurs impliqués dans cette campagne utilisent également une nouvelle version GO d’un maliciel appelé Laplas Clipper pour voler des cryptodevises à des particuliers et des entreprises.
Selon de récentes découvertes de Cisco Talos, des cybercriminels conduisent actuellement une campagne dont les victimes sont appâtées avec des courriels de phishing utilisant des cryptopépettes pour thème, avant de déployer un nouveau ransomware susceptible d’être lié à la famille Xorist, vieille de dix ans.
Dans un billet de blog publié mardi, Chetan Raghuprasad, chercheur en menaces au sein du Talos Intelligence Group de Cisco, a détaillé cette campagne à motivation financière active depuis décembre 2022.
Durant les attaques, les cybercriminels ont utilisé une nouvelle variante de ransomware nommée MortalKombat et une version récemment découverte du maliciel Laplas Clipper pour voler des cryptodevises à des victimes pour l’heure principalement basées aux États-Unis.
Si la souche de ransomware et le malware déployé sont peut-être plus récents dans le paysage des menaces, l’objectif de la campagne s’aligne sur des tendances familières.
« Talos continue de voir des campagnes ciblant des particuliers, des petites entreprises et des grandes organisations et visant à voler ou à exiger des paiements de rançon en cryptomonnaies », écrit Chetan Raghuprasad dans le billet de blog.
L’acteur malveillant non identifié aux commandes de cette campagne est actif depuis décembre dernier. Mais les chercheurs n’ont pas observé d’utilisation du ransomware MortalKombat dans les attaques avant janvier. Avant cela, d’autres charges utiles et logiciels malveillants, tels qu’une variante GO de Laplas Clipper, étaient utilisés. Laplas Clipper a été découvert en novembre 2022 et appartient à la famille de maliciels Clipper, connue pour cibler les utilisateurs de cryptomonnaies.
Comme régulièrement dans les cyberattaques débouchant sur le déclenchement de ransomware, les assaillants profitent de services exposés directement sur Internet.
« Talos a observé que l’acteur scanne Internet à la recherche de machines exposant leur port 3389 (utilisé par le protocole de déport d’affichage RDP), en s’appuyant sur l’un de ses serveurs de téléchargement qui exécutent un crawler RDP et facilitent également le ransomware MortalKombat », écrit Chetan Raghuprasad dans le blog.
Les attaques commencent alors par un e-mail de phishing qui usurpe l’identité de CoinPayments, une passerelle de paiement en cryptomonnaies légitimes. Bien que CoinPayments ne soit plus disponible pour les utilisateurs américains, la campagne a largement ciblé les victimes situées aux États-Unis. On ignore quels types d’entreprises sont visés par cette campagne.
Nouveau ransomware, vieux code
À la suite d’un phishing réussi, l’attaquant délivre soit le malware Laplas Clipper, soit le ransomware MortalKombat. Ce dernier chiffre divers fichiers sur les machines de ses victimes, y compris les sauvegardes, les fichiers des machines virtuelles et les fichiers des emplacements distants montés comme des unités de stockage logiques. D’après le nom du ransomware et le fond d’écran affiché pendant le processus de chiffrement, Talos pense qu’il s’agit d’une référence à la franchise populaire Mortal Kombat.
Si le ransomware MortalKombat n’a été observé que récemment, nombre de ses spécificités ont un air de déjà-vu. Talos estime avec un « haut niveau de confiance » qu’il appartient à la famille des ransomwares Xorist, un ransomware automatisé apparu pour la première fois en 2010.
Laplas Clipper, quant à lui, recherche dans le presse-papiers de la machine de la victime l’adresse de son portefeuille de cryptomonnaies et génère une adresse similaire pour tromper l’utilisateur. Plus important encore, le malware semble relativement facile d’accès. Les attaquants peuvent acheter un abonnement à Laplas Clipper en ligne pour 49 dollars par semaine ou 839 dollars par an.
« Si les victimes tentent ensuite d’utiliser la fausse adresse de portefeuille pour effectuer des transactions, il en résultera une transaction frauduleuse », écrit Chetan Raghuprasad.
En plus de renforcer ses défenses contre les ransomwares et de tester ses solutions de sauvegarde, Cisco Talos invite les entreprises à être extrêmement prudentes quant à l’adresse du destinataire lors de transactions en cryptomonnaies.