Ransomware ตัวใหม่ในชื่อ Mimic ซึ่งใช้ประโชยน์จาก API ของไฟล์ ‘Everything’ Search tool สำหรับ Windows ซึ่งสามารถมองหาไฟล์เป้าหมายเพื่อ Encryption ข้อมูล ซึ่งบาง Code ใน Mimic มีความคล้ายคลึง กับ Conti Ransomware พบในเดือน มิถุนายน 2022 โดยผู้เชี่ยวชาญด้านความปลอดภัยของ Trend Micro เป็นผู้ค้นพบ
การโจมตีของ Mimic
Mimic ransomware เริ่มการโจมตีกับเหยื่อที่ได้รับการไฟล์ดังกล่าว ซึ่งคาดว่าได้รับผ่าน Email โดยจะแตกไฟล์เป็น 4 ไฟล์ไปที่ระบบของเป้าหมาย ซึ่งรวมไปถึง Payload และตัวปิดการทำงานของ Windows Defender ด้วย ตัว Mimic เป็น Ransomware ที่มีความหลากหลายมาก รองรับ Command line arguments เพื่อทำให้ไฟล์เล็กลง แต่สามารถใช้งาน Multiple processor threads เพื่อให้ Encryption ข้อมูลได้เร็วขึ้น
ความสามารถต่าง ๆ ที่ Ransomware ตัวใหม่ที่ออกมาให้เห็นมีหลากหลาย เช่น
Collecting system information
Creating persistence via the RUN key
Bypassing User Account Control (UAC)
Disabling Windows Defender
Disabling Windows telemetry
Activating anti-shutdown measures
Activating anti-kill measures
Unmounting Virtual Drives
Terminating processes and services
Disabling sleep mode and shutdown of the system
Removing indicators
Inhibiting System Recovery
โดยเป้าหมายหลักจุมุ่งไปที่ การปิดการทำงานของระบบป้องกัน และพยายามทำให้ไฟล์ข้อมูลที่สำคัญ
ถูก Encryption ได้
การโจมตีไปที่ Everything
“Everything” คือชื่อของ Search engine ยอดนิยม สำหรับผู้พัฒนา Windows มาจาก Voidtools โดยมีประโยชน์มากทั้ง ง่าย รวดเร็ว และใช้ Recources ของผู้ใช้น้อย อีกทั้งยังรองรับ Real-time update Mimic ransomware จึงใช้ความสามารถในการ Search ของ Everyting ในชื่อ ‘Everything32.dll’ ซึ่งจะฝังตัวในขั้นตอนการระบุชื่อเฉพาะ และส่วนขยายต่างๆ บนระบบที่ได้รับ Mimic ซึ่ง Everything จะช่วย Mimic ในการบอก Locate file ที่สามารถ Encryption ได้ และหลีกเลี่ยงไฟล์ System ที่จะทำให้ระบบไม่รีบูตหากถูกล๊อค
ไฟล์ที่ถูก Encryption โดย Mimic จะได้รับ “.QUIETPLACE”
เพิ่มขึ้นมา
และข้อความเรียกค่าไถ่ให้ทำอย่างไร จึงจะได้ไฟล์คืน
Mimic เป็น ransomware ตัวใหม่ ที่ยังไม่ได้รับการพิสูจน์แน่ชัด แต่เนื่องจากใช้โครงสร้างของ Conti และ Everything API ซึ่งบ่งชี้ว่าผู้พัฒนา Mimic มีความเข้าใจและรู้วิธีการในการทำให้เป้าหมายของพวกเข้าสำเร็จ จึงควรระวังการใช้งานอย่างใกล้ชิด
ไม่มีความคิดเห็น:
แสดงความคิดเห็น