Ransomware Mimic Usa API do ‘Everything’ para Alvo de Usuários Windows em Inglês e Russo

Pesquisadores de segurança da Trend Micro estão de volta com a descoberta de um novo ransomware que os pesquisadores nomearam de Mimic, que aproveita as APIs da ferramenta de busca de arquivos Everything para Windows para procurar arquivos que são alvos de criptografia.

‘Mimic’ foi descoberto em junho do ano passado, e parece que o ransomware tem como alvo usuários que falam russo e inglês.

Os pesquisadores de segurança da Trend Micro encontraram semelhanças entre alguns dos códigos do Mimic e do ransomware Condi, cujo código-fonte foi vazado por um pesquisador ucraniano em março de 2022.

Como você pode ter adivinhado, o Condi também é um ransomware muito perigoso devido à rapidez com que criptografa dados e se espalha para outros sistemas.

Acredita-se que o ransomware seja apoiado por criminosos cibernéticos baseados na Rússia que usam o pseudônimo de Wizard Spider. O grupo russo realiza ataques de phishing para instalar malware TrickBot e Bazarloader para obter acesso remoto ao dispositivo infectado.

Agora que você conhece o Condi, vamos ver como o Mimic funciona; o ransomware Mimic inicia seu ataque após o alvo receber um executável, supostamente através de um e-mail, que então extrai os quatro arquivos no sistema do alvo, incluindo arquivos auxiliares, a carga principal e os mecanismos para parar o Windows Defender.

Com isso, o Mimic é um ransomware flexível que suporta argumentos de linha de comando para restringir o direcionamento de arquivos. Além disso, pode usar múltiplas threads de processador para acelerar o processo de criptografia de dados.

Os pesquisadores encontraram várias capacidades no Mimic que estão presentes nos ransomwares atuais. Essas capacidades incluem

• Coletar informações do usuário

• Contornar o Controle de Conta de Usuário

• Ativar medidas Anti Shutdown

• Ativar medidas Anti Kill

• Criar persistência através do RunKey

• Desmontar Drivers Visuais

• Desabilitar a telemetria do Windows

• Terminar processos e serviços

• Desabilitar o modo de suspensão e o desligamento

• Remover Indicadores

• Impedir a Recuperação do Sistema

Ao terminar os processos e serviços, visa desabilitar o procedimento de proteção de dados e, assim, liberar dados valiosos como os arquivos de banco de dados e, portanto, torná-los acessíveis para criptografia.

Para aqueles que não sabem, Everything é um mecanismo de busca de nomes de arquivos para Windows, usa recursos mínimos e é leve. O novo ransomware usa a busca do Everything na forma de Everything32.dlll, que é liberada quando está na fase de infecção para consultar um nome e extensão específicos no sistema infectado.

O mecanismo de busca de arquivos ajuda o ransomware a encontrar os arquivos que são válidos para criptografia e, ao mesmo tempo, desviar dos arquivos do sistema que tornariam o sistema intransponível se bloqueados.

Depois disso, os arquivos que são criptografados pelo Mimic recebem a extensão ‘QUITEPLACE’, e com isso, uma mensagem de resgate é exibida na máquina comprometida notificando a vítima sobre isso.

Atualmente, não há atividades relacionadas ao ransomware, mas as semelhanças de código com o Ransom Condi, que prova que os atacantes sabem o que estão fazendo.

Leia: Ataques de Agressores Abusando Anexos do OneNote para Espalhar Malware RAT