La società di sicurezza informatica rumena Bitdefender ha rilasciato uno strumento di decrittazione gratuito per MortalKombat, un ransomware vecchio di mesi che prende di mira principalmente gli utenti di criptovaluta.
MortalKombat, che prende il nome dal popolare franchise di videogiochi, è stato osservato per la prima volta dai ricercatori di Cisco Talos a gennaio. I ricercatori hanno affermato che la banda, con motivazioni economiche, aveva distribuito il ransomware per rubare criptovaluta dalle vittime negli Stati Uniti, nel Regno Unito, nelle Filippine e in Turchia.
Il ransomware MortalKombat viene generalmente diffuso tramite e-mail di phishing in cui gli aggressori impersonano CoinPayments, un legittimo gateway di pagamento di criptovaluta globale. Una volta installato sul computer della vittima, il malware cerca i portafogli di criptovaluta sul dispositivo e monitora gli appunti del computer per gli indirizzi dei portafogli. Se trova un indirizzo di portafoglio, lo invia al server dell'aggressore e lo sostituisce con un indirizzo controllato dall'aggressore nel tentativo di dirottare transazioni future.
Sebbene sia attivo solo da pochi mesi, Bitdefender ha annunciato di aver rilasciato un decryptor gratuito per MortalKombat, consentendo alle vittime di ransomware di decrittografare gratuitamente i propri file crittografati.
Bitdefender afferma di aver osservato anche MortalKombat da gennaio, ma ha affermato che la portata della minaccia rimane sconosciuta.
"Questo è un pezzo emergente di ransomware che è ancora in distribuzione al momento della stesura di questo articolo", ha affermato Bogdan Botezatu, direttore della ricerca e dei rapporti sulle minacce di Bitdefender. “Al momento non disponiamo di dati sufficienti per stimare l'entità dell'attacco. Saremo in grado di fornire più dati sulla vittimologia e sulla distribuzione geografica una volta che il pool di vittime esistente scaricherà lo strumento e rimedierà alle infezioni”.
Botezatu ha aggiunto che non è nemmeno chiaro quanto gli hacker dietro MortalKombat abbiano estorto alle loro vittime. "Una volta completato il processo di crittografia, non vi è alcun addebito anticipato", afferma Botezatu. Invece, alla vittima viene chiesto di scaricare un client di chat crittografato chiamato qTox e di contattare l'operatore per negoziare il pagamento in Bitcoin. Riteniamo che il riscatto richiesto vari da infezione a infezione a seconda dell'importanza dei dati riscattati per l'utente o per l'azienda".
Bitdefender ha rifiutato di dire come ha ottenuto le chiavi per creare il decryptor di MortalKombat o se ha avuto l'aiuto delle forze dell'ordine.
Ad oggi, la società di sicurezza informatica ha rilasciato 32 decryptor, inclusi quelli di GandCrab, Darkside, LockerGoga, MegaCortex e REvil, e stima di aver contribuito a salvare in totale circa 1.600 miliardi di dollari di vittime di ransomware.
