El ransomware Mimic utiliza la API de ‘Everything’ para atacar a usuarios de Windows en inglés y ruso

Los investigadores de seguridad de Trend Micro han vuelto con el descubrimiento de un nuevo ransomware que los investigadores han nombrado Mimic, que aprovecha las API de la herramienta de búsqueda de archivos Everything para Windows para buscar archivos que son objetivo de cifrado.

‘Mimic’ fue descubierto en junio del año pasado, y parece que el ransomware ataca a usuarios que hablan ruso e inglés.

Los investigadores de seguridad de Trend Micro encontraron similitudes entre algunos de los códigos de Mimic y el ransomware Condi, cuyo código fuente fue filtrado por un investigador ucraniano en marzo de 2022.

Como puede haber adivinado, Condi también es un ransomware muy peligroso debido a la rapidez con la que cifra datos y se propaga a otros sistemas.

Se cree que el ransomware está respaldado por criminales cibernéticos con sede en Rusia que utilizan el seudónimo de Wizard Spider. El grupo ruso realiza ataques de phishing para instalar malware TrickBot y Bazarloader para obtener acceso remoto al dispositivo infectado.

Ahora que conoce a Condi, veamos cómo funciona Mimic; el ransomware Mimic comienza su ataque después de que el objetivo recibe un ejecutable, supuestamente a través de un correo electrónico, que luego extrae los cuatro archivos en el sistema del objetivo, incluidos archivos auxiliares, la carga principal y los mecanismos para detener Windows Defender.

Con eso, Mimic es un ransomware flexible que admite argumentos de línea de comandos para reducir el objetivo de archivos. Además, puede utilizar múltiples hilos de procesador para acelerar el proceso de cifrado de datos.

Los investigadores encontraron varias capacidades en Mimic que se encuentran en el ransomware actual. Estas capacidades incluyen

• Recopilar información del usuario

• Eludir el Control de Cuentas de Usuario

• Activar medidas anti-apagado

• Activar medidas anti-kill

• Crear persistencia a través de RunKey

• Desmontar controladores visuales

• Deshabilitar la telemetría de Windows

• Terminar procesos y servicios

• Deshabilitar el modo de suspensión y el apagado

• Eliminar indicadores

• Obstaculizar la recuperación del sistema

Al terminar los procesos y servicios, busca deshabilitar el procedimiento de protección de datos y luego liberar datos valiosos como los archivos de base de datos y, por lo tanto, hacerlos accesibles para el cifrado.

Para aquellos que no lo saben, Everything es un motor de búsqueda de nombres de archivos para Windows, utiliza recursos mínimos y es ligero. El nuevo ransomware utiliza la búsqueda de Everything en forma de Everything32.dll, que libera cuando está en la fase de infección para consultar un nombre y extensión particular en el sistema infectado.

El motor de búsqueda de archivos ayuda al ransomware a encontrar los archivos que son válidos para el cifrado y, mientras tanto, esquivar los archivos del sistema que harían que el sistema fuera invencible si se bloquea.

Después de eso, los archivos que son cifrados por Mimic obtienen la extensión ‘QUITEPLACE’, y con eso, un mensaje de rescate se muestra en la máquina comprometida notificando a la víctima sobre ello.

Actualmente, no hay actividades relacionadas con el ransomware, pero las similitudes de código con el ransomware Conti, que prueban que los atacantes saben lo que están haciendo.

Leer: Atacantes abusando de los archivos adjuntos de OneNote para propagar malware RAT