Il ransomware Mimic usa lo strumento di ricerca Everything per crittografare i file

I ricercatori di Trend Micro hanno scoperto un nuovo ransomware, chiamato Mimic, che contiene molte somiglianze con un’altra minaccia ampiamente conosciuta (Conti).
L’aspetto più interessante, tuttavia, è che il ransomware Mimic utilizza le API alla base del funzionamento del popolare software Everything per cercare rapidamente i file da crittografare.

La funzionalità di ricerca di Windows è stata migliorata in Windows 10 e 11 ma tanti utenti preferiscono rivolgersi a un programma gratuito come Everything per cercare file nel PC.

Everything è un’utilità semplice e veloce che impegna un minimo quantitativo di risorse. Utilizzando chiamate dirette a Everything, una volta in esecuzione sul sistema, il ransomware Mimic può individuare rapidamente i documenti personali dell’utente o comunque tutti i file per i quali chiedere poi un riscatto in denaro.
In questo modo, interfacciandosi con Everything, il malware evita di cifrare file che possono impedire il corretto funzionamento del sistema operativo o delle varie applicazioni.
L’obiettivo dei criminali informatici è infatti quello di prendere in ostaggio i file degli utenti mettendoli nelle condizioni di pagare quanto richiesto.

Ai file crittografati Mimic aggiunge l’estensione .QUIETPLACE mostrando quindi, sotto forma di file di testo aperto con il Blocco Note di Windows, le istruzioni per versare il riscatto.

Trend Micro spiega nel dettaglio il funzionamento di Mimic, ransomware che arriva tipicamente come allegato a un’email ma che può essere distribuito anche attraverso altri canali.

I ricercatori osservano che Mimic sfrutta un’architettura multiprocesso utile per velocizzare il processo di cifratura dei dati. Il malware, inoltre, integra caratteristiche avanzate per raccogliere informazioni sui sistemi infettati, autoeseguirsi all’avvio del sistema, bypassare UAC (User Account Control), disattivare Microsoft Defender e la telemetria di WIndows, bloccare i tentativi di rilevamento e neutralizzazione, disattivare le unità virtuali, arrestare processi e servizi, impedire l’uso dell’utilità per il ripristino della configurazione del sistema, disattivare lo spegnimento del sistema, la sospensione e l’ibernazione.

La tendenza degli ultimi mesi tra gli sviluppatori di ransomware è inoltre quella di ricorrere alla crittografia intermittente per sottrarsi al rilevamento da parte delle principali soluzioni antimalware.