New Mimic ransomware abuses Everything Windows search tool
นักวิจัยด้านความปลอดภัยค้นพบแรนซัมแวร์ตัวใหม่ที่ชื่อ Mimic ซึ่งใช้ประโยชน์จาก API ของเครื่องมือค้นหาไฟล์ Everything สำหรับ Windows เพื่อค้นหาไฟล์ที่กำหนดเป้าหมายสำหรับการเข้ารหัส โดยโค้ดบางส่วนของ Mimic ransomware นั้นมีความคล้ายคลึงกันกับ Conti ransomware โดยการโจมตีจะเริ่มต้นจากการส่งอีเมลที่มีโปรแกรมที่ติดตั้งมัลแวร์ไปหลอกเหยื่อ เมื่อเหยื่อทำการคลิกหรือดาวน์โหลดโปรแกรมนั้นจะทำการแตกไฟล์ 4 ไฟล์บนระบบเป้าหมาย รวมถึงเพย์โหลดหลัก ไฟล์เสริม และเครื่องมือสำหรับปิดใช้งาน Windows Defender Mimic เป็นแรนซัมแวร์ที่ใช้งานร่วมกับ command line เพื่อกำหนดเป้าหมายไปยังไฟล์ที่ต้องการเข้ารหัส ในขณะที่ยังสามารถใช้ตัวประมวลผลหลายตัวเพื่อเพิ่มความเร็วของกระบวนการเข้ารหัสข้อมูล
โดย Mimic ransomware จะใช้ความสามารถในการค้นหาในรูปแบบของ Everything32dll ที่ drop ระหว่างขั้นตอนการติดไวรัสเพื่อค้นหาชื่อไฟล์และนามสกุลเฉพาะในระบบที่ถูกบุกรุก ไฟล์ที่ถูกเข้ารหัสแล้วจะได้รับนามสกุล QUIETPLACE หลังจากนั้นจะทิ้งบันทึกเรียกค่าไถ่เอาไว้ให้เหยื่อโดยจะแจ้งรายละเอียดและความต้องการของผู้โจมตีรวมถึงวิธีการกู้คืนข้อมูลหลังจากจ่ายค่าไถ่เป็น Bitcoin ไว้ในนั้น
ความสามารถในการโจมตีของ Mimic ransomware มีดังต่อไปนี้ - รวบรวมข้อมูลระบบ - การสร้างการคงอยู่ผ่านปุ่ม RUN - ข้ามการควบคุมบัญชีผู้ใช้ (UAC) - ปิดการใช้งาน Windows Defender - ปิดการใช้งาน Windows telemetry - เปิดใช้งานการ anti-shutdown - เปิดใช้งานการ anti-kill - ถอนการติดตั้ง Virtual Drives - ยุติกระบวนการและบริการ - ปิดโหมดสลีปและปิดระบบ - การลบตัว indicators - ยับยั้งการกู้คืนระบบ
https://www.bleepingcomputer.com/news/security/new-mimic-ransomware-abuses-everything-windows-search-tool/