Mimic Ransomware: Sự Phát Triển Và Biến Thể Mới Như Elpaco
Mimic là gì?
Mimic là một loại ransomware, lần đầu tiên được phát hiện trong tự nhiên vào năm 2022. Giống như nhiều cuộc tấn công ransomware khác, Mimic mã hóa các tệp của nạn nhân và yêu cầu thanh toán tiền chuộc bằng tiền điện tử để cung cấp khóa giải mã.
Mimic có đánh cắp dữ liệu không?
Có, một số biến thể của Mimic có thể lấy cắp dữ liệu từ máy tính của người dùng trước khi mã hóa. Dữ liệu bị đánh cắp thường được sử dụng như một con bài mặc cả bổ sung bởi những kẻ tống tiền, những kẻ có thể đe dọa phát tán dữ liệu trực tuyến hoặc bán cho tội phạm khác.
Nguồn gốc của Mimic?
Mimic tái sử dụng mã từ ransomware Conti, mã này đã bị rò rỉ sau khi băng nhóm Conti công khai tuyên bố ủng hộ cuộc xâm lược Ukraine của Nga. Thật không may, không thể xác định chính xác Mimic có nguồn gốc từ đâu, nhưng có vẻ như nó nhắm mục tiêu cụ thể vào những người nói tiếng Anh và tiếng Nga.
Điều gì làm cho Mimic đáng chú ý?
Điều làm cho Mimic đặc biệt đáng chú ý là nó khai thác API của một công cụ tìm kiếm tệp Windows hợp pháp ("Everything" của Voidtools) để nhanh chóng xác định các tệp cần mã hóa. Mặc dù bạn không sử dụng Everything, Mimic ransomware thường được đóng gói cùng với Everything, cũng như các chương trình làm suy yếu hiệu quả của Windows Defender và công cụ Secure Delete của Sysinternals, được sử dụng để xóa bản sao lưu và cản trở việc khôi phục.
Làm thế nào để biết máy tính đã bị nhiễm Mimic?
Các tệp được mã hóa bởi Mimic ransomware được gắn phần mở rộng “.QUIETPLACE”. Bạn có thể sử dụng một công cụ như Everything để nhanh chóng xác định xem bạn có tệp nào có phần mở rộng đó không. Mimic cũng để lại một ghi chú đòi tiền chuộc yêu cầu 3000 USD tiền điện tử để đổi lấy khóa giải mã.
Tình hình hiện tại
Một biến thể mới của Mimic gần đây đã được phát hiện có tên là Elpaco, đã được sử dụng trong các cuộc tấn công mà tin tặc độc hại truy cập vào hệ thống của nạn nhân thông qua RDP sau khi thành công brute-force. Theo các chuyên gia bảo mật, những kẻ tấn công có thể leo thang đặc quyền của mình thông qua việc khai thác lỗ hổng "Zerologon" (CVE-2020-1472). Các nhà nghiên cứu bảo mật cho biết họ đã nhận được báo cáo về biến thể Elpaco của Mimic từ Nga và Hàn Quốc.
Tham khảo
