La société roumaine de cybersécurité Bitdefender a publié un outil de décryptage gratuit pour MortalKombat, une souche de ransomware vieille de plusieurs mois qui cible principalement les utilisateurs de crypto-monnaie.
MortalKombat, qui tire son nom de la célèbre franchise de jeux vidéo, a été observé pour la première fois par les chercheurs de Cisco Talos en janvier. Les chercheurs ont affirmé que le gang, avec des motivations économiques, avait déployé le ransomware pour voler la crypto-monnaie des victimes aux États-Unis, au Royaume-Uni, aux Philippines et en Turquie.
Le ransomware MortalKombat se propage généralement via des e-mails de phishing dans lesquels les attaquants se font passer pour CoinPayments, une passerelle de paiement mondiale légitime en crypto-monnaie. Une fois installé sur la machine de la victime, le logiciel malveillant recherche les portefeuilles de crypto-monnaie sur l'appareil et surveille le presse-papiers de l'ordinateur pour les adresses de portefeuille. S'il trouve une adresse de portefeuille, il l'envoie au serveur de l'attaquant et la remplace par une adresse contrôlée par l'attaquant dans le but de détourner de futures transactions.
Bien qu'il ne soit actif que depuis quelques mois, Bitdefender a annoncé qu'il avait publié un décrypteur gratuit pour MortalKombat, permettant aux victimes de rançongiciels de décrypter leurs fichiers cryptés gratuitement.
Bitdefender dit qu'il surveille également MortalKombat depuis janvier, mais a déclaré que l'ampleur de la menace reste inconnue.
"Il s'agit d'un rançongiciel émergent qui est toujours distribué au moment d'écrire ces lignes", a déclaré Bogdan Botezatu, directeur de la recherche sur les menaces et des rapports chez Bitdefender. "Nous n'avons pas suffisamment de données pour le moment pour estimer l'ampleur de l'attaque. Nous serons en mesure de fournir plus de données sur la victimologie et la répartition géographique une fois que le pool de victimes existant aura téléchargé l'outil et corrigé les infections.
Botezatu a ajouté qu'il est également difficile de savoir combien les pirates derrière MortalKombat ont extorqué à leurs victimes. "Une fois le processus de cryptage terminé, il n'y a pas de frais initiaux", explique Botezatu. Au lieu de cela, la victime est invitée à télécharger un client de chat crypté appelé qTox et à contacter l'opérateur pour négocier le paiement en Bitcoin. Nous pensons que la rançon demandée varie d'une infection à l'autre en fonction de l'importance des données rançonnées pour l'utilisateur ou pour l'entreprise."
Bitdefender a refusé de dire comment il a obtenu les clés pour créer le décrypteur MortalKombat ou s'il a eu l'aide des forces de l'ordre.
À ce jour, la société de cybersécurité a publié 32 décrypteurs, dont ceux de GandCrab, Darkside, LockerGoga, MegaCortex et REvil, et estime qu'elle a permis d'économiser au total quelque 1.600 milliard de dollars de victimes de ransomwares.
