A campanha visa principalmente vítimas nos EUA, seguido pelo Reino Unido, Turquia e Filipinas. A cadeia de ataque de vários estágios começa com um e-mail de phishing contendo um arquivo ZIP malicioso anexado com um script de carregador BAT.
Ao clicar, o script usa o bitadmin LoLBin para baixar um segundo arquivo ZIP de um recurso remoto. O script do carregador BAT usa outro script VB incorporado para inflar o arquivo baixado automaticamente e descarta a carga final do Malware.
Os agentes de ameaças estão verificando a Internet em busca de máquinas vítimas com uma porta RDP 3389 exposta, usando um de seus servidores de download que executam um rastreador RDP. Os invasores atraem as vítimas para descompactar o anexo malicioso e visualizar o conteúdo, que é um carregador BAT malicioso.
O carregador baixa, e executa o MortalKombat. O ransomware é capaz de criptografar vários arquivos no sistema de arquivos da máquina da vítima, como aplicativos, backup, banco de dados, sistema e arquivos da máquina virtual, bem como arquivos em locais remotos mapeados como unidades lógicas na máquina da vítima.
O MortalKombat não é muito sofisticado no momento, enquanto os operadores estão continuamente lançando atualizações. Assim, os alvos em potencial devem observar cuidadosamente os e-mails convincentes e ter backups off-line para o pior cenário.