セキュリティ研究者は、Windows 用の「Everything」ファイル検索ツールの API を利用して暗号化の対象となるファイルを探す、Mimic と名付けられた新しいランサムウェア株を発見しました。
2022 年 6 月にサイバーセキュリティ企業トレンドマイクロの研究者によって発見されたこのマルウェアは、主に英語とロシア語を話すユーザーを標的にしているようです。
Mimic のコードの一部は、 2022 年 3 月にウクライナの研究者によってソースがリークされた Conti ランサムウェアと類似しています。
擬態攻撃
Mimic ランサムウェア攻撃は、おそらく電子メール経由で被害者が実行可能ファイルを受信することから始まります。この実行可能ファイルは、メイン ペイロード、補助ファイル、および Windows Defender を無効にするツールを含む、ターゲット システム上の 4 つのファイルを抽出します。
Mimic は、ファイルのターゲットを絞り込むためのコマンド ライン引数をサポートする汎用性の高いランサムウェアです。また、複数のプロセッサ スレッドを利用してデータ暗号化プロセスを高速化することもできます。
新しいランサムウェア ファミリは、次のような最新の株に見られるいくつかの機能を備えています。
- システム情報の収集
- RUN キーによる永続性の作成
- ユーザー アカウント制御 (UAC) のバイパス
- Windows Defender の無効化
- Windows テレメトリの無効化
- シャットダウン対策の有効化
- 殺傷対策の発動
- 仮想ドライブのアンマウント
- プロセスとサービスの終了
- スリープモードの無効化とシステムのシャットダウン
- インジケータの削除
- システム回復の抑制
プロセスとサービスを強制終了すると、保護手段が無効になり、データベース ファイルなどの重要なデータが解放され、暗号化できるようになります。
すべてを悪用する
「Everything」は、 Voidtoolsによって開発された Windows 用の一般的なファイル名検索エンジンの名前です。このユーティリティは軽量で高速で、最小限のシステム リソースを使用し、リアルタイムの更新をサポートしています。
Mimic ランサムウェアは、感染段階でドロップされた「Everything32.dll」の形式の Everything の検索機能を使用して、侵害されたシステムの特定のファイル名と拡張子を照会します。
ロックされた場合にシステムを起動できなくするシステム ファイルを回避しながら、すべてが Mimic が暗号化に有効なファイルを見つけるのに役立ちます。
Mimic によって暗号化されたファイルには、「.QUIETPLACE」拡張子が付けられます。身代金メモもドロップされ、攻撃者の要求と、Bitcoin で身代金を支払うことによってデータを回復する方法が通知されます。
Mimic は、まだ証明されていないアクティビティを持つ新種ですが、Conti ビルダーと Everything API を使用することで、その作成者が目標を達成する方法を明確に理解している有能なソフトウェア開発者であることを証明できます。
Comments