Le ransomware Mimic utilise l'API 'Everything' pour cibler les utilisateurs Windows anglophones et russophones

Les chercheurs en sécurité de Trend Micro sont de retour avec la découverte d’un nouveau ransomware que les chercheurs ont nommé Mimic, qui tire parti des API de l’outil de recherche de fichiers Everything pour Windows afin de rechercher des fichiers ciblés pour le chiffrement.

‘Mimic’ a été découvert en juin de l’année dernière, et il semble que le ransomware cible les utilisateurs parlant russe et anglais.

Les chercheurs en sécurité de Trend Micro ont trouvé des similitudes entre certains des codes de Mimic et ceux du ransomware Condi, dont le code source a été divulgué par un chercheur ukrainien en mars 2022.

Comme vous l’avez peut-être deviné, Condi est également un ransomware très dangereux en raison de la rapidité avec laquelle il chiffre les données et se propage à d’autres systèmes.

Le ransomware serait soutenu par des cybercriminels basés en Russie qui utilisent le pseudonyme de Wizard Spider. Le groupe russe effectue des attaques de phishing pour installer des malwares TrickBot et Bazarloader afin d’obtenir un accès à distance à l’appareil infecté.

Maintenant que vous connaissez Condi, voyons comment fonctionne Mimic ; le ransomware Mimic commence son attaque après que la cible reçoit un exécutable, supposément par e-mail, qui extrait ensuite les quatre fichiers sur le système de la cible, y compris des fichiers auxiliaires, la charge utile principale et les mécanismes pour arrêter Windows Defender.

Avec cela, Mimic est un ransomware flexible qui prend en charge les arguments de ligne de commande pour affiner le ciblage des fichiers. De plus, il peut utiliser plusieurs threads de processeur pour accélérer le processus de chiffrement des données.

Les chercheurs ont trouvé plusieurs capacités dans Mimic qui se retrouvent dans les ransomwares actuels. Ces capacités incluent

• Collecte d’informations sur l’utilisateur

• Contournement du contrôle de compte utilisateur

• Activation de mesures anti-arrêt

• Activation de mesures anti-tuer

• Création de persistance via RunKey

• Démontage des pilotes visuels

• Désactivation de la télémétrie Windows

• Terminaison des processus et services

• Désactivation du mode veille et de l’arrêt

• Suppression des indicateurs

• Entrave à la récupération du système

En terminant les processus et services, il vise à désactiver la procédure de protection des données et à libérer des données précieuses comme les fichiers de base de données, les rendant ainsi accessibles au chiffrement.

Pour ceux qui ne le savent pas, Everything est un moteur de recherche de noms de fichiers pour Windows, utilisant un minimum de ressources et étant léger. Le nouveau ransomware utilise la recherche Everything sous la forme de Everything32.dll, qu’il libère lorsqu’il est en phase d’infection pour interroger un nom et une extension particuliers sur le système infecté.

Le moteur de recherche de fichiers aide le ransomware à trouver les fichiers qui sont valides pour le chiffrement tout en évitant les fichiers système qui rendraient le système inopérable s’ils étaient verrouillés.

Après cela, les fichiers chiffrés par Mimic reçoivent l’extension ‘QUITEPLACE’, et avec cela, un message de rançon est affiché sur la machine compromise, informant la victime à ce sujet.

Actuellement, il n’y a pas d’activités liées au ransomware, mais les similitudes de code avec le ransomware Conti prouvent que les attaquants savent ce qu’ils font.

Lire : Les attaquants abusent des pièces jointes OneNote pour propager des malwares RAT