Οι ερευνητές της Trend Micro βρήκαν ένα νέο στέλεχος ransomware με την ονομασία Mimic, το οποίο χρησιμοποιεί τα API του file search tool (αναζήτησης αρχείων) “Everything” για τα Windows, με σκοπό να εντοπίσει τα αρχεία που πρόκειται να κρυπτογραφήσει.
Το κακόβουλο αυτό λογισμικό ανακαλύφθηκε τον Ιούνιο του 2022 και απευθύνεται κυρίως σε αγγλόφωνους και ρωσόφωνους χρήστες.
Ο κώδικας του Mimic έχει ομοιότητες με το ransomware Conti, του οποίου ο πηγαίος κώδικας διέρρευσε τον Μάρτιο του 2022 από έναν Ουκρανό ερευνητή.
Δείτε επίσης: Google ads phishing επίθεση στοχεύει χρήστες Bitwarden
Επιθέσεις του Mimic ransomware
Η επίθεση του ransomware Mimic ξεκινά με τη λήψη ενός εκτελέσιμου αρχείου (.exe) από το θύμα, πιθανότατα μέσω e-mail, το οποίο στη συνέχεια κάνει extract τέσσερα αρχεία, συμπεριλαμβανομένου του κύριου payload, βοηθητικών αρχείων και εργαλείων για την απενεργοποίηση του Windows Defender.
Το Mimic είναι ένα ευπροσάρμοστο στέλεχος που επιτρέπει τη στοχευμένη κρυπτογράφηση αρχείων χρησιμοποιώντας ορίσματα γραμμής εντολών (command line arguments) και μπορεί επίσης να χρησιμοποιήσει πολλαπλά threads του επεξεργαστη ταυτόχρονα για να επιταχύνει τη διαδικασία κρυπτογράφησης.
Η νέα «οικογένεια» ransomware Mimic περιλαμβάνει διάφορα χαρακτηριστικά που συνήθως συναντώνται σε σύγχρονα στελέχη, όπως:
- Συλλογή πληροφοριών συστήματος
- Δημιουργία Persistence μέσω των registry run κλειδιών
- Παράκαμψη του ελέγχου λογαριασμού χρήστη (UAC)
- Απενεργοποίηση του Windows Defender
- Απενεργοποίηση του Telemetry των Windows
- Ενεργοποίηση μέτρων κατά του τερματισμού λειτουργίας (anti-kill)
- Ενεργοποίηση μέτρων κατά της διακοπής λειτουργίας (anti-shutdown)
- Αποσύνδεση των Virtual Drive
- Τερματισμός διεργασιών και υπηρεσιών
- Απενεργοποίηση της sleep λειτουργίας και shutdown του συστήματος
- Αφαίρεση δεικτών Παρεμπόδιση του System Recovery
- Διακοπή διεργασιών και υπηρεσιών με στόχο την απενεργοποίηση των μέτρων προστασίας και κάνοντας δεδομένα, όπως αρχεία βάσεων δεδομένων, διαθέσιμα για κρυπτογράφηση.
Κατάχρηση του “Everything”
Το “Everything” είναι ενα δημοφιλές file search tool για τα Windows που αναπτύχθηκε από την Voidtools, γνωστό για το ότι είναι «light», γρήγορο, χρησιμοποιεί ελάχιστους πόρους και έχει live υποστήριξη για ενημερώσεις.
Το ransomware Mimic χρησιμοποιεί τις δυνατότητες αναζήτησης του Everything με τη μορφή του “Everything32.dll” αρχείου, το οποίο «αφήνεται» κατά τη μόλυνση, για να αναζητήσει συγκεκριμένα ονόματα και επεκτάσεις αρχείων.
Αυτό επιτρέπει στο Mimic να εντοπίζει αρχεία που είναι κατάλληλα για κρυπτογράφηση, αποφεύγοντας παράλληλα το system files που, αν κλειδωθεί, εμποδίζει την εκκίνηση του συστήματος.
Τα αρχεία που κρυπτογραφούνται από το Mimic λαμβάνουν την επέκταση “.QUIETPLACE”.
Στη συνέχεια γίνεται drop ένα σημείωμα λύτρων, το οποίο ενημερώνει το θύμα για τις απαιτήσεις του έχει ο απειλητικός παράγοντας και για το πώς μπορούν να ανακτηθούν τα δεδομένα μετά την καταβολή των λύτρων σε Bitcoin.
Δείτε επίσης: NCSC: Αυξημένες επιθέσεις από Ρώσους και Ιρανούς hackers
Το Mimic ransomware είναι ένα νέο στέλεχος χωρίς γνωστή δραστηριότητα μέχρι στιγμής.
Όμως, η χρήση του Conti builder και του Everything API, δείχνει ότι οι δημιουργοί του είναι ικανοί προγραμματιστές λογισμικού που έχουν ξέρουν πως να πετύχουν το στόχο τους.
Πηγή πληροφοριών: bleepingcomputer.com
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/447428/mimic-to-neo-ransomware-xrisimopoiei-to-search-tool-everything/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/id:6516a51ce74c0f046108fa0ff51cb4f9/https://www.secnews.gr/mm_1-2.jpg&description=Νέο ransomware, γνωστό ως Mimic, το οποίο χρησιμοποιεί τα API του "Everything" για τα Windows, με σκοπό την κρυπτογράφηση των αρχείων.){kind=link}