Estás leyendo la publicación: Mimic Ransomware utiliza la API ‘Everything’ para dirigirse a usuarios de Windows en inglés y ruso
Los investigadores de seguridad de Trend Micro han vuelto con el descubrimiento de un nuevo ransomware al que llamaron Mimic, que aprovecha las API de la herramienta de búsqueda de archivos Everything para Windows para buscar archivos destinados al cifrado.
‘Mimic’ se descubrió en junio del año pasado y parece que el ransomware se dirige a usuarios que hablan ruso e inglés.
Los investigadores de seguridad de Tendencia Micro encontró similitudes entre algunos de los códigos del ransomware Mimic y Condi, cuyo código fuente fue filtrado por un investigador ucraniano en marzo de 2022.
Como habrás adivinado, Condi también es un ransomware muy peligroso debido a la rapidez con la que cifra los datos y se propaga a otros sistemas.
Se cree que el ransomware está respaldado por ciberdelincuentes radicados en Rusia que utilizan el seudónimo de Wizard Spider. El grupo ruso realiza ataques de phishing para instalar el malware TrickBot & Bazarloader y obtener acceso remoto al dispositivo infectado.
Ahora que conoces a Condi, veamos cómo funciona Mimic; Mimic ransomware comienza su ataque después de que el objetivo recibe un ejecutable, supuestamente a través de un correo electrónico que luego extrae los cuatro archivos en el sistema de destino, incluidos los archivos auxiliares, la carga útil principal y los mecanismos para detener Windows Defender.
Además, Mimic es un ransomware flexible que admite argumentos de línea de comandos para limitar la selección de archivos. Además, puede utilizar múltiples subprocesos de procesador para acelerar el proceso de cifrado de datos.
Los investigadores encontraron varias capacidades en Mimic que se encuentran en el ransomware actual. Estas capacidades incluyen
- Recopilación de la información del usuario.
- Omitir el control de cuentas de usuario
- Activación de medidas Anti Apagado
- Activando medidas Anti Kill
- Creando persistencia a través de RunKey
- Desmontaje de controladores visuales
- Deshabilitar la telemetría de Windows
- Terminar procesos y servicios
- Desactivar el modo de suspensión y el apagado
- Eliminación de indicadores
- Obstaculizar la recuperación del sistema
Al finalizar los procesos y servicios, su objetivo es desactivar el procedimiento de protección de datos y luego liberar datos valiosos, como los archivos de la base de datos, haciéndolos accesibles para su cifrado.
Para aquellos que no lo saben, Todo Es un motor de búsqueda de nombres de archivos para Windows, utiliza recursos mínimos y es liviano. El nuevo ransomware utiliza la búsqueda Everything en forma de Everything32.dlll, que lanza cuando está en la fase de infección para consultar un nombre y una extensión concretos en el sistema infectado.
El motor de búsqueda de archivos ayuda al ransomware a encontrar los archivos que son válidos para el cifrado y, al mismo tiempo, a esquivar los archivos del sistema que harían que el sistema fuera inmejorable si estuviera bloqueado.
Después de eso, los archivos cifrados por Mimic obtienen la extensión ‘QUITEPLACE’ y, con eso, se muestra un mensaje Ransome en la máquina comprometida notificando a la víctima al respecto.
Actualmente, no hay actividades relacionadas con el ransomware, pero el código es similar al de Conti Ransome, lo que demuestra que los atacantes saben lo que están haciendo.
Leer: Los atacantes abusan de los archivos adjuntos de OneNote para difundir malware RAT