Mimicランサムウェアが‘Everything’ APIを利用して英語とロシア語のWindowsユーザーを標的にする

セキュリティ研究者のTrend Microは、新しいランサムウェアを発見しました。このランサムウェアはMimicと名付けられ、Windows用のファイル検索ツールであるEverythingのAPIを利用して、暗号化の対象となるファイルを検索します。

‘Mimic’は昨年の6月に発見され、ロシア語と英語を話すユーザーを標的にしているようです。

Trend Microのセキュリティ研究者は、Mimicのいくつかのコードと、2022年3月にウクライナの研究者によってソースコードが流出したCondiランサムウェアとの類似点を発見しました。

ご想像の通り、Condiもデータを迅速に暗号化し、他のシステムに広がるため非常に危険なランサムウェアです。

このランサムウェアは、Wizard Spiderという偽名を使うロシアを拠点とするサイバー犯罪者によって支援されていると考えられています。このロシアのグループは、TrickBotとBazarloaderマルウェアをインストールするためにフィッシング攻撃を行い、感染したデバイスへのリモートアクセスを取得します。

Condiについて知ったところで、Mimicがどのように機能するか見てみましょう。Mimicランサムウェアは、ターゲットが実行可能ファイルを受け取った後に攻撃を開始します。これは、電子メールを通じて送信され、その後、ターゲットのシステムに4つのファイルを抽出します。これには、補助ファイル、メインペイロード、およびWindows Defenderを停止するためのメカニズムが含まれます。

これにより、Mimicはファイルターゲティングを絞り込むためのコマンドライン引数をサポートする柔軟なランサムウェアです。また、データ暗号化プロセスを加速するために複数のプロセッサスレッドを使用できます。

研究者は、Mimicに現在のランサムウェアに見られるいくつかの機能があることを発見しました。これらの機能には以下が含まれます

• ユーザー情報の収集
• ユーザーアカウント制御のバイパス
• シャットダウン防止措置の有効化
• キル防止措置の有効化
• RunKeyを通じた永続性の作成
• ビジュアルドライバーのアンマウント
• Windowsテレメトリの無効化
• プロセスとサービスの終了
• スリープモードとシャットダウンの無効化
• インジケーターの削除
• システム回復の妨害

プロセスとサービスを終了させることで、データ保護手順を無効にし、データベースファイルなどの貴重なデータを解放し、暗号化のためにアクセス可能にします。

知らない方のために、EverythingはWindows用のファイル名検索エンジンで、最小限のリソースを使用し、軽量です。この新しいランサムウェアは、感染フェーズにあるときに特定の名前と拡張子を感染したシステムで照会するために、Everything32.dllという形でEverything検索を使用します。

このファイル検索エンジンは、ランサムウェアが暗号化に適したファイルを見つけるのを助け、その間にロックされるとシステムが無効になるシステムファイルを回避します。

その後、Mimicによって暗号化されたファイルには‘QUITEPLACE’拡張子が付与され、その結果、被害者に通知するランサムメッセージが妥協されたマシンに表示されます。

現在、このランサムウェアに関連する活動はありませんが、Contiランサムウェアとのコードの類似性が、攻撃者が何をしているかを知っていることを証明しています。

読む: 攻撃者がOneNote添付ファイルを悪用してRATマルウェアを拡散