Gli esperti di Trend Micro ha scoperto un nuovo ransomware che sfrutta le API del noto tool Everything di Voidtools per cercare i file da cifrare. Mimic è stato individuato per la prima volta nel mese di giugno 2022, ma ultimamente gli attacchi sono aumentati. Il codice del malware sembra derivato da quello di Conti (pubblicato online da un ricercatore ucraino).
Mimic: funzionalità del ransomware
L’attacco inizia con l’invio di un eseguibile (in allegato alle email) che, se avviato, scarica quattro file sul computer (copiati nella directory Temp): 7za.exe
(eseguibile legittimo di 7-Zip usato per estrarre il ransomware), Everything.exe
(eseguibile legittimo di Everything), Everything32.dll
(DLL legittima di Everything) e Everything32.dll
(archivio 7-Zip che contiene il ransomware e altri file). I file vengono successivamente spostati in %LocalAppData%
e cancellati dalla directory Temp.
Analizzando il codice di Mimic, gli esperti di Trend Micro hanno scoperto le varie funzionalità. Il ransomware può raccogliere informazioni sul sistema, aggirare il controllo account utente, disattivare Microsoft Defender, terminare processi e servizi, impedire il ripristino di sistema.
Ovviamente lo scopo principale è cifrare i file. Per cercare i file con specifiche estensioni viene utilizzato il tool Everything di Voidtools. Al termine dell’operazione viene aggiunta l’estensione .QUIETPLACE
e mostrato un documento di testo con le istruzioni da seguire per pagare il riscatto in Bitcoin.
Per limitare i rischi è sempre consigliato effettuare frequenti backup dei dati e utilizzare una soluzione di sicurezza che rileva i ransomware e altri tipi di malware.