Mimic-Ransomware nutzt die 'Everything'-API, um englische und russische Windows-Nutzer anzugreifen

Sicherheitsforscher von Trend Micro haben eine neue Ransomware entdeckt, die sie Mimic genannt haben und die die APIs des Everything-Dateisuchtools für Windows ausnutzt, um nach Dateien zu suchen, die für die Verschlüsselung vorgesehen sind.

‘Mimic’ wurde im Juni letzten Jahres entdeckt und es scheint, dass die Ransomware Nutzer anvisiert, die Russisch und Englisch sprechen.

Die Sicherheitsforscher von Trend Micro fanden Ähnlichkeiten zwischen einigen der Codes von Mimic und der Condi-Ransomware, deren Quellcode im März 2022 von einem ukrainischen Forscher geleakt wurde.

Wie Sie vielleicht erraten haben, ist Condi ebenfalls eine sehr gefährliche Ransomware, aufgrund der Geschwindigkeit, mit der sie Daten verschlüsselt und sich auf andere Systeme ausbreitet.

Die Ransomware wird für von russischen Cyberkriminellen unterstützt gehalten, die das Pseudonym Wizard Spider verwenden. Die russische Gruppe führt Phishing-Angriffe durch, um TrickBot- und Bazarloader-Malware zu installieren, um Remote-Zugriff auf das infizierte Gerät zu erhalten.

Jetzt, da Sie Condi kennen, lassen Sie uns sehen, wie Mimic funktioniert; Die Mimic-Ransomware beginnt ihren Angriff, nachdem das Ziel eine ausführbare Datei erhält, angeblich durch eine E-Mail, die dann die vier Dateien auf dem Zielsystem extrahiert, einschließlich zusätzlicher Dateien, der Hauptlast und der Mechanismen, um Windows Defender zu stoppen.

Damit ist Mimic eine flexible Ransomware, die die Befehlszeilenargumente unterstützt, um die Dateizielauswahl einzugrenzen. Außerdem kann sie mehrere Prozessor-Threads verwenden, um den Datenverschlüsselungsprozess zu beschleunigen.

Forscher fanden mehrere Fähigkeiten in Mimic, die in der heutigen Ransomware zu finden sind. Diese Fähigkeiten umfassen

• Sammeln von Benutzerinformationen

• Umgehen der Benutzerkontensteuerung

• Aktivieren von Anti-Abschaltmaßnahmen

• Aktivieren von Anti-Kill-Maßnahmen

• Erstellen von Persistenz durch RunKey

• Abmontieren visueller Treiber

• Deaktivieren der Windows-Telemetrie

• Beenden von Prozessen und Diensten

• Deaktivieren des Energiesparmodus und Herunterfahrens

• Entfernen von Indikatoren

• Beeinträchtigen der Systemwiederherstellung

Durch das Beenden der Prozesse und Dienste zielt es darauf ab, das Datenschutzverfahren zu deaktivieren und dann wertvolle Daten wie die Datenbankdateien freizugeben und sie somit für die Verschlüsselung zugänglich zu machen.

Für diejenigen, die es nicht wissen, Everything ist eine Dateinamen-Suchmaschine für Windows, die minimale Ressourcen benötigt und leicht ist. Die neue Ransomware verwendet die Everything-Suche in Form von Everything32.dlll, die sie in der Infektionsphase freigibt, um nach einem bestimmten Namen und einer bestimmten Erweiterung auf dem infizierten System zu suchen.

Die Dateisuchmaschine hilft der Ransomware, die Dateien zu finden, die für die Verschlüsselung gültig sind, und gleichzeitig die Systemdateien zu umgehen, die das System unbesiegbar machen würden, wenn sie gesperrt sind.

Danach erhalten die von Mimic verschlüsselten Dateien die Erweiterung ‘QUITEPLACE’, und damit wird eine Lösegeldnachricht auf dem kompromittierten Gerät angezeigt, die das Opfer darüber informiert.

Derzeit gibt es keine Aktivitäten im Zusammenhang mit der Ransomware, aber die Codeähnlichkeiten mit der Conti-Ransomware beweisen, dass die Angreifer wissen, was sie tun.

Lesen Sie: Angreifer missbrauchen OneNote-Anhänge, um RAT-Malware zu verbreiten