Il ransomware Mimic utilizza l'API di 'Everything' per colpire utenti Windows inglesi e russi

I ricercatori della sicurezza di Trend Micro sono tornati con la scoperta di un nuovo ransomware che i ricercatori hanno chiamato Mimic, che sfrutta le API dello strumento di ricerca file Everything per Windows per cercare file destinati alla crittografia.

‘Mimic’ è stato scoperto a giugno dello scorso anno e sembra che il ransomware colpisca utenti che parlano russo e inglese.

I ricercatori della sicurezza di Trend Micro hanno trovato somiglianze tra alcuni dei codici di Mimic e il ransomware Condi, il cui codice sorgente è stato trapelato da un ricercatore ucraino nel marzo 2022.

Come avrete indovinato, Condi è anche un ransomware molto pericoloso a causa della velocità con cui crittografa i dati e si diffonde ad altri sistemi.

Si ritiene che il ransomware sia sostenuto da criminali informatici russi che usano lo pseudonimo di Wizard Spider. Il gruppo russo esegue attacchi di phishing per installare malware TrickBot e Bazarloader per ottenere accesso remoto al dispositivo infetto.

Ora che conoscete Condi, vediamo come funziona Mimic; il ransomware Mimic inizia il suo attacco dopo che l’obiettivo riceve un eseguibile, presumibilmente tramite un’email, che estrae quindi quattro file nel sistema dell’obiettivo, inclusi file accessori, il payload principale e i meccanismi per fermare Windows Defender.

Con ciò, Mimic è un ransomware flessibile che supporta gli argomenti della riga di comando per restringere il targeting dei file. Inoltre, può utilizzare più thread del processore per accelerare il processo di crittografia dei dati.

I ricercatori hanno trovato diverse capacità in Mimic che si trovano nei ransomware odierni. Queste capacità includono

• Raccolta delle informazioni dell’utente

• Bypassare il Controllo dell’Account Utente

• Attivazione delle misure Anti Shutdown

• Attivazione delle misure Anti Kill

• Creazione di persistenza tramite RunKey

• Smontaggio dei driver visivi

• Disabilitazione della telemetria di Windows

• Terminazione di processi e servizi

• Disabilitazione della modalità sleep e dello shutdown

• Rimozione degli indicatori

• Ostacolare il ripristino del sistema

Terminando i processi e i servizi, mira a disabilitare la procedura di protezione dei dati e quindi liberare dati preziosi come i file di database e, rendendoli così accessibili per la crittografia.

Per chi non lo sapesse, Everything è un motore di ricerca per nomi di file per Windows, utilizza risorse minime ed è leggero. Il nuovo ransomware utilizza la ricerca Everything sotto forma di Everything32.dll, che rilascia quando è nella fase di infezione per interrogare un nome e un’estensione particolari sul sistema infetto.

Il motore di ricerca di file aiuta il ransomware a trovare i file che sono validi per la crittografia e nel frattempo a schivare i file di sistema che renderebbero il sistema inespugnabile se bloccati.

Dopo di ciò, i file crittografati da Mimic ricevono l’estensione ‘QUITEPLACE’ e con ciò, un messaggio di riscatto viene visualizzato sulla macchina compromessa notificando la vittima al riguardo.

Attualmente, non ci sono attività relative al ransomware, ma le somiglianze di codice con il ransomware Conti, che dimostrano che gli attaccanti sanno cosa stanno facendo.

Leggi: Attaccanti che abusano degli allegati OneNote per diffondere malware RAT