Ransomware Mimic mới lạm dụng công cụ tìm kiếm Windows 'Mọi thứ'

Các nhà nghiên cứu bảo mật đã phát hiện ra một chủng ransomware mới mà họ đặt tên là Mimic, sử dụng API của công cụ tìm kiếm tệp 'Everything' dành cho Windows để tìm kiếm các tệp được nhắm mục tiêu mã hóa.

Được các nhà nghiên cứu tại công ty an ninh mạng Trend Micro phát hiện vào tháng 6 năm 2022 , phần mềm độc hại này dường như chủ yếu nhắm mục tiêu đến người dùng nói tiếng Anh và tiếng Nga.

Một số mã trong Mimic có điểm tương đồng với phần mềm tống tiền Conti, nguồn gốc của mã này đã  bị rò rỉ vào tháng 3 năm 2022 bởi một nhà nghiên cứu người Ukraine.

Bắt chước các cuộc tấn công

Các cuộc tấn công bắt chước ransomware bắt đầu bằng việc nạn nhân nhận được một tệp thực thi, có thể là qua email, trích xuất bốn tệp trên hệ thống đích, bao gồm tải trọng chính, tệp phụ trợ và công cụ để vô hiệu hóa Windows Defender.

Mimic là một chủng ransomware linh hoạt hỗ trợ các đối số dòng lệnh để thu hẹp mục tiêu tệp, đồng thời nó cũng có thể sử dụng nhiều luồng bộ xử lý để tăng tốc quá trình mã hóa dữ liệu.

Các tệp do Mimic bỏ rơi trên hệ thống bị vi phạm (Trend Micro)

Gia đình ransomware mới có một số khả năng được thấy trong các chủng hiện đại, chẳng hạn như:

• Thu thập thông tin hệ thống
• Tạo kiên trì thông qua phím RUN
• Bỏ qua kiểm soát tài khoản người dùng (UAC)
• Vô hiệu hóa Windows Defender
• Vô hiệu hóa từ xa Windows
• Kích hoạt các biện pháp chống tắt máy
• Kích hoạt các biện pháp chống giết người
• Gỡ ổ đĩa ảo
• Chấm dứt quy trình và dịch vụ
• Vô hiệu hóa chế độ ngủ và tắt hệ thống
• Loại bỏ các chỉ số
• Ức chế phục hồi hệ thống

Việc hủy các quy trình và dịch vụ nhằm mục đích vô hiệu hóa các biện pháp bảo vệ và giải phóng dữ liệu quan trọng như tệp cơ sở dữ liệu, khiến chúng có sẵn để mã hóa.

Tùy chọn cấu hình bắt chước (Trend Micro)

Lạm dụng mọi thứ

"Everything" là tên của một công cụ tìm kiếm tên tệp phổ biến dành cho Windows do Voidtools phát triển . Tiện ích này nhẹ và nhanh, sử dụng tài nguyên hệ thống tối thiểu và hỗ trợ cập nhật theo thời gian thực.

Phần mềm tống tiền bắt chước sử dụng khả năng tìm kiếm của Everything ở dạng 'Everything32.dll' bị loại bỏ trong giai đoạn lây nhiễm để truy vấn các tên tệp và phần mở rộng cụ thể trong hệ thống bị xâm nhập.

Mọi thứ giúp Mimic định vị các tệp hợp lệ để mã hóa đồng thời tránh các tệp hệ thống khiến hệ thống không thể khởi động được nếu bị khóa.

Chức năng sử dụng API Mọi thứ (Trend Micro)

Các tệp được mã hóa bởi Mimic sẽ có phần mở rộng “.QUIETPLACE”. Một ghi chú đòi tiền chuộc cũng được gửi đi, thông báo về yêu cầu của kẻ tấn công và cách khôi phục dữ liệu sau khi trả tiền chuộc bằng Bitcoin.

Bắt chước ghi chú đòi tiền chuộc (Trend Micro)

Bắt chước là một dòng mới với hoạt động chưa được chứng minh, nhưng việc sử dụng trình tạo Conti và API Mọi thứ chứng tỏ tác giả của nó là những nhà phát triển phần mềm có năng lực, những người hiểu rõ về cách họ có thể đạt được mục tiêu của mình.

Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.