Ya está disponible para descargar un nuevo descifrador para el ransomware MortalKombat. Bitdefender ha estado monitoreando la familia de ransomware MortalKombat desde que apareció por primera vez en línea en enero de este año.
Basado en el ransomware Xorist, MortalKombat se propaga a través de correos electrónicos de phishing y apunta a instancias RDP expuestas. El malware se planta a través del BAT Loader que también entrega el malware Laplas Clipper. Una descripción detallada del ransomware está disponible en esta publicación de blog de Cisco Talos .
Signos de infección
Una vez ejecutado, MortalKombat Ransomware cifra los datos y genera archivos con una extensión específica:..Remember_you_got_only_24_hours_to_make_the_payment_
if_you_dont_pay_prize_will_triple_Mortal_Kombat_Ransomware. También cambia el fondo de escritorio para darle un tema de Mortal Kombat y genera una nota de rescate llamada HOW TO DECRYPT FILES.txt.
Descifrador gratuito al rescate
Bitdefender ha lanzado un descifrador universal gratuito para la versión actual de MortalKombat, disponible a continuación:
La herramienta también se puede ejecutar de forma silenciosa a través de una línea de comandos. Si necesita automatizar la implementación de la herramienta dentro de una red grande, es posible que desee utilizar esta función.
-help– proporcionará información sobre cómo ejecutar la herramienta de forma silenciosa (esta información se escribirá en el archivo de registro, no en la consola)
start– este argumento permite que la herramienta se ejecute en silencio (sin GUI)
-scan-path– este argumento especifica la ruta que contiene los archivos cifrados
• -full-scan– habilitará la opción Escanear todo el sistema (ignorando el argumento -scan-path)
• -disable-backup– desactivará la opción de copia de seguridad del archivo
• -replace-existing– habilitará la opción Reemplazar archivos previamente descifrados
Ejemplos:
BDMortalKombatDecryptTool.exe start -scan-path:C:\-> la herramienta comenzará sin GUI y escanearáC:\
BDMortalKombatDecryptTool.exe start -full-scan-> la herramienta comenzará sin GUI y escaneará todo el sistema
BDMortalKombatDecryptTool.exe start -full-scan -replace-existing-> la herramienta escaneará todo el sistema y sobrescribirá los archivos limpios presentes.
El renombrado laboratorio de pruebas de antivirus austriaco AV-Comparatives ha publicado su Consumer Summary Report 2022, otorgando a Bitdefender el codiciado premio al «Producto del año» por quinta vez, más que cualquier otro proveedor en la última década.
AV-Comparatives probó rigurosamente 17 productos de seguridad para el consumidor para medir su capacidad para defenderse de las amenazas de Internet del mundo real, el malware completamente nuevo y los ataques dirigidos avanzados, todo mientras evita la tensión en los recursos del sistema de la PC.
Bitdefender Antivirus, que ha sido seleccionado como el producto del año 5 veces en los últimos 10 años, destaca como la solución de seguridad cibernética más exitosa en este campo y en comparación con sus competidores.
Protección fiable a lo largo del tiempo
Nuestra tecnología antivirus central obtiene constantemente puntajes perfectos y casi perfectos en pruebas independientes en varias organizaciones de la industria; Diseñado para proteger a los usuarios contra malware, phishing, sitios web maliciosos, Además incluye otras características clave como firewall, filtro de correo no deseado, administrador de contraseñas, triturador de archivos, controles parentales y más.
Por ejemplo, en la Prueba de Protección contra Amenazas Avanzadas (ATP) de AV-Comp, Bitdefender Internet Security emergió como el producto más recomendado después de su desempeño estelar en una amplia gama de escenarios de ataques dirigidos, desde ingeniería social hasta malware y código malicioso puro inyectado directamente en la memoria. (ataques sin archivos).
Una nueva campaña de malware aprovechó versiones troyanizadas de los archivos de instalación de Windows 10 para realizar actividades posteriores a la explotación. Los archivos ISO maliciosos se distribuyeron a través de sitios web de Torrent.
Mandiant (firma estadounidense de ciberseguridad y una subsidiaria de Google), descubrió el ataque de «socially engineered supply chain» a mediados de julio de 2022.
«Tras la instalación del software comprometido, el malware recopila información sobre el sistema comprometido y lo extrae», dijo la compañía de ciberseguridad en un análisis técnico profundo que realizaron.
El archivo ISO, fue diseñado para deshabilitar la transmisión de datos de telemetría desde la computadora infectada a Microsoft, instalar puertas traseras de PowerShell, así como bloquear actualizaciones automáticas y verificación de licencia.
Las herramientas adicionales que se instalaban son: una herramienta proxy de código abierto, un backdoor liviano que permite al atacante ejecutar comandos, recopilar datos, capturar pulsaciones de teclas y capturas de pantalla, y exportar la información a un servidor remoto.
En algunos casos, el atacante intentó descargar el navegador TOR en el dispositivo de la víctima. Si bien la razón exacta de esta acción no está clara, se sospecha que pudo haber servido como una ruta de exfiltración alternativa.
Para prevenir este tipo de situación es importante aplicar el principio de seguridad informática de la Autenticidad, que nos indica que debemos verificar que la fuente y el archivo en cuestión son auténticos.
A mediados de noviembre se detectó un nuevo malware desarrollado en Go llamado ‘Zerobot’ que usa exploits para cerca de 21 vulnerabilidades en una variedad de dispositivos y software que incluyen phpMyAdmin, routers D-Link, cámaras Hikvisión, entre otros. Desde noviembre ha surgido una nueva versión con módulos adicionales y exploits para nuevas fallas, lo que indica que el malware está en desarrollo activo.
El objetivo del malware es capturar y agregar dispositivos comprometidos a una botnet de denegación de servicio distribuida (DDoS) para lanzar ataques masivos contra objetivos específicos.
Zerobot puede escanear la red y autopropagarse a dispositivos adyacentes, así como ejecutar comandos en Windows (CMD) o Linux (Bash).
El malware puede tener como objetivo una variedad de arquitecturas de sistemas y dispositivos, como ser: i386, AMD64, ARM, ARM64, MIPS, MIPS64, MIPS64le, MIPSle, PPC64, PPC64le, RISC64 y S390x.
Al momento de ser descubierto Zerobot incorporaba exploits para 21 vulnerabilidades y las usaba para obtener acceso al dispositivo. Luego descarga un script llamado «cero», que le permite propagarse a sí mismo.
Zerobot utiliza los siguientes exploits para vulnerar sus objetivos:
Además, la botnet utiliza cuatro exploits a los que no se les ha asignado un identificador (CVE). Dos de ellos apuntan a terminales GPON y enrutadores D-Link, los detalles sobre los otros dos no están claros al momento de redactar escribir este artículo.
¿Cómo funciona Zerobot?
Después de comprometer el dispositivo, Zerobot establece una conexión WebSocket al servidor de Command and Control (C2) y envía información básica sobre la víctima.
El C2 responde con uno de los siguientes comandos:
ping – Heartbeat, para verificar la conexión
attack – Lanza el ataque por protocolos diferentes: TCP, UDP, TLS, HTTP, ICMP
stop – Para el ataque
update – Instala, actuaiza y reinicia Zerobot
enable_scan – Escanea en busca de puertos abiertos y empieza a propagarse a través de exploits o SSH/Telnet crackers
disable_scan – Deshabilita el escaneo
command – Ejecuta comandos de S.O. usando CMD en Windows o Bash en Linux
kill – Elimina el programa de la botnet
El malware también utiliza un módulo «anti-kill» diseñado para evitar que finalice o elimine su proceso.
Desde su apareción por primera vez el 18 de noviembre, el desarrollador de Zerobot lo ha mejorado con ofuscación de cadenas, un módulo de copia de archivos, un módulo de autopropagación y varios exploits nuevos.
