Исследователи компании Trend Micro обнаружили новую программу-вымогатель, которая злоупотребляет API-интерфейсами легитимного инструмента под названием Everything - поисковой системы имен файлов для Windows, разработанной компанией Voidtools, которая предлагает быстрый поиск и обновления в режиме реального времени при минимальном использовании ресурсов. Эта программа-вымогатель (которую мы назвали Mimic на основании строки, найденной в ее двоичных файлах) впервые была замечена в дикой природе в июне 2022 года и нацелена на русскоязычных и англоязычных пользователей. Он обладает множеством возможностей, таких как удаление теневых копий, завершение работы нескольких приложений и служб, а также использование функций Everything32.dll для запроса целевых файлов, подлежащих шифрованию.
Mimic Ransomware
Mimic поставляется в виде исполняемого файла, содержащего несколько двоичных файлов и защищенный паролем архив (замаскированный под Everything64.dll), который при извлечении содержит полезную нагрузку ransomware. Он также включает инструменты, используемые для отключения защитника Windows, и легитимные двоичные файлы sdel.
При выполнении он сначала сбросит свои компоненты в папку %Temp%/7zipSfx. Затем он извлечет защищенный паролем Everything64.dll в ту же директорию с помощью сброшенного файла 7za.exe.
Он также сбросит в тот же каталог файл ключа сессии session.tmp, который будет использоваться для продолжения шифрования в случае прерывания процесса.
Затем он скопирует сброшенные файлы в каталог "%LocalAppData%\{Random GUID}\", после чего программа-вымогатель будет переименована в bestplacetolive.exe, а исходные файлы удалены из каталога %Temp%.
Mimic ransomware состоит из нескольких потоков, использующих функцию CreateThread для ускорения шифрования и усложнения анализа для исследователей безопасности.
При выполнении она сначала регистрирует горячую клавишу (Ctrl + F1, используя API RegisterHotKey), которая отображает журналы состояния, выполняемые ransomware.
Mimic ransomware обладает множеством возможностей, включая следующие:
- сбор системной информации
- Создание персистентности с помощью ключа RUN
- обход контроля учетных записей пользователей (UAC)
- отключение Защитника Windows
- отключение телеметрии Windows
- Активация мер по предотвращению выключения
- Активация мер защиты от выключения
- Размонтирование виртуальных дисков
- Завершение процессов и служб
- Отключение спящего режима и выключения системы
- Удаление индикаторов
- Запрет восстановления системы
Mimic использует Everything32.dll, легитимную систему поиска имен файлов в Windows, которая может возвращать результаты запросов в режиме реального времени. Он злоупотребляет этим инструментом, запрашивая определенные расширения файлов и имена файлов, используя API Everything для получения пути к файлу для шифрования.
Mimic ransomware с его многочисленными возможностями, похоже, использует новый подход к ускорению своей работы, объединяя несколько потоков и используя API Everything для шифрования (минимизируя использование ресурсов, что приводит к более эффективному выполнению). Более того, угрожающий агент, стоящий за Mimic, похоже, изобретателен и технически подкован, используя утечку сборки вымогательского ПО, чтобы использовать его различные возможности и даже усовершенствовать его для более эффективных атак.
Indicators of Compromise
SHA256
- 08f8ae7f25949a742c7896cb76e37fb88c6a7a32398693ec6c2b3d9b488114be
- 136d05b5132adafc4c7616cd6902700de59f3f326c6931eb6b2f3b1f458c7457
- 1dea642abe3e27fd91c3db4e0293fb1f7510e14aed73e4ea36bf7299fd8e6506
- 2e96b55980a827011a7e0784ab95dcee53958a1bb19f5397080a434041bbeeea
- 30f2fe10229863c57d9aab97ec8b7a157ad3ff9ab0b2110bbb4859694b56923f
- 480fb2f6bcb1f394dc171ecbce88b9fa64df1491ec65859ee108f2e787b26e03
- 4a6f8bf2b989fa60daa6c720b2d388651dd8e4c60d0be04aaed4de0c3c064c8f
- 7ae4c5caf6cda7fa8862f64a74bd7f821b50d855d6403bde7bcbd7398b2c7d99
- 9c16211296f88e12538792124b62eb00830d0961e9ab24b825edb61bda8f564f
- a1eeeeae0eb365ff9a00717846c4806785d55ed20f3f5cbf71cf6710d7913c51
- b0c75e92e1fe98715f90b29475de998d0c8c50ca80ce1c141fc09d10a7b8e7ee
- b68f469ed8d9deea15af325efc1a56ca8cb5c2b42f2423837a51160456ce0db5
- bb28adc32ff1b9dcfaac6b7017b4896d2807b48080f9e6720afde3f89d69676c
- bf6fa9b06115a8a4ff3982427ddc12215bd1a3d759ac84895b5fb66eaa568bff
- c576f7f55c4c0304b290b15e70a638b037df15c69577cd6263329c73416e490e
- c634378691a675acbf57e611b220e676eb19aa190f617c41a56f43ac48ae14c7
- c71ce482cf50d59c92cfb1eae560711d47600541b2835182d6e46e0de302ca6c
- e67d3682910cf1e7ece356860179ada8e847637a86c1e5f6898c48c956f04590
- ed6cf30ee11b169a65c2a27c4178c5a07ff3515daa339033bf83041faa6f49c1