Novo Ransomware Mimic abusa da ferramenta de pesquisa ‘Tudo’ do Windows

Uma nova família de ransomware chamada Mimic surgiu no cenário de ameaças. O ransomware abusa das APIs de uma ferramenta legítima Everything para o processo de criptografia.

Sobre o ransomware Mimic

De acordo com os pesquisadores da Trend Micro 

, o ransomware Mimic foi observado pela primeira vez na natureza em junho de 2022 e tem como alvo usuários que falam russo e inglês. 

  • Parte do código do Mimic foi emprestado do ransomware Conti, cujo código-fonte vazou em março de 2022.
  • Além disso, o malware faz uso de vários threads de processador e APIs do Everything para acelerar o processo de criptografia de dados.
  • Vários recursos do ransomware incluem a coleta de informações do sistema, ignorando o Controle de Conta do Usuário (UAC), desabilitando o Windows Defender e a telemetria do Windows e inibindo a Recuperação do Sistema, entre outros.

Modo de operação

Os ataques de imitação de ransomware começam com a vítima recebendo um executável, presumivelmente por e-mail, que extrai quatro arquivos no sistema de destino. 

Os arquivos incluem a carga útil principal, arquivos auxiliares e ferramentas para desabilitar o Windows Defender.

  • Durante o estágio de infecção, o ransomware usa os recursos de pesquisa do Everything na forma de Everything32.dll para consultar nomes de arquivos e extensões específicos no sistema comprometido.
  • Tudo ajuda o Mimic a localizar arquivos válidos para criptografia, evitando arquivos do sistema que tornariam o sistema não inicializável se bloqueado.
  • Os arquivos criptografados pelo Mimic são anexados com a extensão .QUIETPLACE.

Conclusão

Mimic é uma nova variedade de ransomware que vem com recursos agrupados. Os pesquisadores acreditam que os ataques desse grupo cibercriminoso podem piorar no futuro. já que os invasores estão capitalizando um construtor vazado para o ransomware Conti. 

Fonte: https://cyware.com/