Yeni Mimic fidye yazılımı, ‘Her Şey’ Windows arama aracını kötüye kullanıyor

   Ocak 26, 2023  Posted in Bleeping Computer


Yeni Mimic fidye yazılımı, 'Her Şey' Windows arama aracını kötüye kullanıyor

Güvenlik araştırmacıları, şifreleme için hedeflenen dosyaları aramak üzere Windows için ‘Everything’ dosya arama aracının API’lerinden yararlanan Mimic adını verdikleri yeni bir fidye yazılımı türü keşfettiler.

Siber güvenlik şirketi Trend Micro’daki araştırmacılar tarafından Haziran 2022’de keşfedilen kötü amaçlı yazılımın, esas olarak İngilizce ve Rusça konuşan kullanıcıları hedeflediği görülüyor.

Mimic’teki bazı kodlar, kaynağı Mart 2022’de Ukraynalı bir araştırmacı tarafından sızdırılan Conti fidye yazılımıyla benzerlikler taşıyor.

Mimik saldırılar

Taklit fidye yazılımı saldırıları, kurbanın, muhtemelen e-posta yoluyla, ana yük, yardımcı dosyalar ve Windows Defender’ı devre dışı bırakacak araçlar da dahil olmak üzere hedef sistemdeki dört dosyayı çıkaran yürütülebilir bir dosya almasıyla başlar.

Mimic, dosya hedeflemeyi daraltmak için komut satırı argümanlarını desteklerken aynı zamanda veri şifreleme sürecini hızlandırmak için birden çok işlemci iş parçacığından yararlanabilen çok yönlü bir fidye yazılımı türüdür.

İhlal edilen sistemde Mimic tarafından bırakılan dosyalar
İhlal edilen sistemde Mimic tarafından bırakılan dosyalar (Trend Mikro)

Yeni fidye yazılımı ailesi, modern türlerde görülen çeşitli yeteneklere sahiptir, örneğin:

  • Sistem bilgilerini toplama
  • RUN tuşu ile kalıcılık oluşturma
  • Kullanıcı Hesabı Denetimini (UAC) Atlama
  • Windows Defender’ı Devre Dışı Bırakma
  • Windows telemetrisini devre dışı bırakma
  • Kapatma önleme önlemlerinin etkinleştirilmesi
  • Ölüm önleme önlemlerinin etkinleştirilmesi
  • Sanal Sürücüleri Çıkarma
  • Süreçleri ve hizmetleri sonlandırmak
  • Uyku modunun devre dışı bırakılması ve sistemin kapatılması
  • Göstergeleri kaldırma
  • Sistem Kurtarmayı Engelleme

Öldürme işlemleri ve hizmetleri, koruma önlemlerini devre dışı bırakmayı ve veritabanı dosyaları gibi önemli verileri serbest bırakarak şifreleme için uygun hale getirmeyi amaçlar.

Mimik yapılandırma seçenekleri
Mimik yapılandırma seçenekleri (Trend Mikro)

Her Şeyi Kötüye Kullanmak

“Everything”, Windows için Voidtools tarafından geliştirilen popüler bir dosya adı arama motorunun adıdır. Yardımcı program hafif ve hızlıdır, minimum sistem kaynağı kullanır ve gerçek zamanlı güncellemeleri destekler.

Mimik fidye yazılımı, güvenliği ihlal edilmiş sistemdeki belirli dosya adlarını ve uzantıları sorgulamak için bulaşma aşamasında bırakılan ‘Everything32.dll’ biçimindeki Everything’in arama yeteneklerini kullanır.

Her şey, Mimic’in şifreleme için geçerli dosyaları bulmasına yardımcı olurken, kilitlendiğinde sistemi yeniden başlatılamaz hale getirecek sistem dosyalarından kaçınır.

Everything API'sini kullanan işlev
Everything API’sini kullanan işlev (Trend Mikro)

Mimic tarafından şifrelenen dosyalar “.QUIETPLACE” uzantısını alır. Saldırganın taleplerini ve Bitcoin’de bir fidye ödedikten sonra verilerin nasıl kurtarılabileceğini bildiren bir fidye notu da bırakılır.

Mimik fidye yazılımı notu
Taklit fidye notu (Trend Mikro)

Mimic, etkinliği henüz kanıtlanmamış yeni bir türdür, ancak Conti oluşturucusunun ve Everything API’sinin kullanılması, yazarlarının, hedeflerine nasıl ulaşabilecekleri konusunda net bir anlayışa sahip yetkin yazılım geliştiricileri olduğunu kanıtlar.



Source link