นักวิจัยจาก Trend Micro บริษัทด้านความปลอดภัยทางไซเบอร์ได้ค้นพบ กลุ่ม ransomware ในชื่อ Mimic ที่มีการใช้ API ของ ‘Everything‘ เครื่องมือค้นหาของ Windows เพื่อค้นหาไฟล์ที่กำหนดเป้าหมายสำหรับการเข้ารหัสข้อมูล
Mimic ransomware เป็นกลุ่มแรนซัมแวร์ที่ใช้ command line arguments กำหนดเป้าหมายไฟล์ รวมทั้งยังสามารถใช้ multiple processor threads เพื่อเพิ่มความเร็วของกระบวนการเข้ารหัสข้อมูล
เครื่องมือค้นหา ‘Everything’
Everything คือเครื่องมือค้นหาไฟล์ยอดนิยมของ Windows ที่ใช้ทรัพยากรน้อย ทำงานรวดเร็ว และมีการอัปเดตอย่างสม่ำเสมอ
นักวิจัยได้พบ 'Everything32.dll' ระหว่างที่ตรวจสอบเหตุการณ์การโจมตีของกลุ่ม Mimic ransomware โดย Everything ทำให้ Mimic สามารถค้นหาไฟล์ที่ถูกต้องสำหรับการเข้ารหัสในขณะที่หลีกเลี่ยง system files ที่จะทำให้ระบบไม่สามารถบูตได้หากถูกเข้ารหัส
การโจมตีของ Mimic ransomware
เมื่อเหยื่อเปิด Phishing Email ที่แนบไฟล์ที่เป็นอันตราย มันจะทำการแตกไฟล์บนเครื่องของเป้าหมาย ติดตั้งเพย์โหลดหลัก ไฟล์เสริม และเครื่องมือสำหรับปิดการทำงานของ Windows Defender บนเครื่องเพื่อหลีกเลี่ยงการตรวจจับ
โดย Mimic ransomware มีความสามารถในการโจมตีที่หลากหลายเช่น
- การรวบรวมข้อมูลระบบ
- ฝังตัวอยู่ในระบบโดยใช้ RUN key
- หลบหลีกการควบคุมบัญชีผู้ใช้ (UAC)
- ปิดการใช้งาน Windows Defender
- ปิดการใช้งาน Windows telemetry
- เปิดใช้การป้องกันการปิดระบบ (anti-shutdown)
- เปิดใช้การป้องกันการลบคำสั่งการ (anti-kill measures)
- ยกเลิกการต่อเชื่อม Virtual Drives
- ยุติ processes and services บนเครื่อง
- ปิดการใช้งานโหมดสลีป และปิดระบบ
- การลบ IOC
- ยับยั้งการกู้คืนระบบ
ความสามารถทั้งหมดที่กล่าวมานี้ มีจุดประสงค์เพื่อปิดใช้งานมาตรการป้องกัน และทำให้ข้อมูลสำคัญ เช่น database files สามารถถูกเข้ารหัสข้อมูลได้ทันที ซึ่งไฟล์ที่เข้ารหัสโดย Mimic จะถูกต่อท้ายนามสกุลด้วย “.QUIETPLACE” และทิ้งจดหมายเรียกค่าไถ่ที่ให้ชำระเป็น Bitcoin รวมถึงช่องทางการติดต่อกลับ
อีกทั้งยังพบว่าโค้ดบางส่วนใน Mimic เช่น Conti builder และ Everything API มีความคล้ายคลึงกันกับ Conti ransomware ซึ่งมีปฏิบัติการการโจมตีอยู่ก่อนหน้านี้ในช่วงเดือนมีนาคม 2022
ที่มา : bleepingcomputer
You must be logged in to post a comment.