درباره باج‌افزار میمیک چه می‌دانیم

0
19
درباره باج‌افزار میمیک چه می‌دانیم

باج‌افزار Mimic که اولین بار در سال ۲۰۲۲ شناسایی شد، یک تهدید پیچیده است که برای رمزگذاری فایل‌های قربانی و درخواست باج (معمولاً به شکل ارزهای دیجیتال) طراحی شده است.

برخی نسخه‌های Mimic پیش از رمزگذاری داده‌ها، اطلاعات را از سیستم قربانی استخراج می‌کنند. این داده‌های سرقت‌شده به عنوان ابزاری برای فشار بیشتر استفاده می‌شوند؛ مهاجمان ممکن است تهدید کنند که این اطلاعات را به صورت آنلاین منتشر کرده یا به دیگر مجرمان بفروشند.

باج افزار میمیک از کدهای باج‌افزار Conti استفاده می‌کند که پس از حمایت علنی گروه Conti از تهاجم روسیه به اوکراین افشا شد. با این حال، منشأ جغرافیایی دقیق Mimic مشخص نیست. به نظر می‌رسد این بدافزار کاربران انگلیسی و روسی‌زبان را هدف قرار می‌دهد.

نکته‌ای که در مورد میمیک بخصوص است استفاده از API یک ابزار قانونی جستجوی فایل در ویندوز به نام Everything (ساخت Voidtools) است. این ابزار باعث افزایش سرعت در یافتن فایل‌ها برای رمزگذاری می‌شود- در حالت کلی روند حمله را تسریع می‌کند.

متأسفانه، باج‌افزار Mimic نیازی به نصب بودن نرم‌افزار Everything روی سیستم قربانی ندارد. این باج‌افزار معمولاً  Everything را همراه با خود نصب می‌کند و همچنین شامل برنامه‌‌هایی برای کاهش کارایی Windows Defender و  Secure Delete از Sysinternal است که برای حذف نسخه‌های پشتیبان و جلوگیری از بازیابی داده‌ها استفاده می‌شود.

Voidtools، سازنده Everything، کاری نمی‌تواند انجام دهد. خود برنامه Everything مشکلی ندارد و فقط توسط باج‌افزار برای سرعت‌بخشیدن به فرایند شناسایی فایل‌ها برای رمزگذاری سوءاستفاده می‌شود. همین موضوع برای ابزار Secure Delete نیز صادق است که برای پاک کردن نسخه‌های پشتیبان مورد سوءاستفاده قرار می‌گیرد.

توجه کنید خود Everything مشکلی ندارد و فقط توسط باج‌افزار برای سرعت‌بخشیدن به فرایند شناسایی فایل‌ها برای رمزگذاری استفاده می‌شود. همین موضوع برای ابزار Secure Delete نیز صادق است که برای پاک کردن نسخه‌های پشتیبان مورد سوءاستفاده قرار می‌گیرد.

چگونه بفهمم که دستگاه من به باج‌افزار میمیک آلوده شده است؟

فایل‌هایی که توسط Mimic رمزگذاری شده‌اند، به پسوند “.QUIETPLACE” تغییر می‌کنند. شما می‌توانید از ابزاری مانند Everything برای جستجوی سریع این پسوند در فایل‌های سیستم خود استفاده کنید. همچنین، Mimic یک یادداشت باج‌خواهی به‌جا می‌گذارد که در ازای کلید رمزگشایی باید ۳۰۰۰ دلار به صورت ارز دیجیتال پرداخت شود.

آینده Mimic

یک نسخه جدید از باج‌افزار Mimic با نام Elpaco اخیراً کشف شده است. این نسخه در حملاتی استفاده شده که مهاجمان از طریق پروتکل RDP به سیستم قربانیان دسترسی پیدا کرده‌اند. به گفته کارشناسان امنیتی، مهاجمان توانسته‌اند با استفاده از آسیب‌پذیری معروف به “Zerologon” (CVE-2020-1472) سطح دسترسی خود را در سیستم قربانیان ارتقا دهند.

محققان امنیتی گزارش‌هایی از فعالیت نسخه Elpaco باج‌افزار Mimic در کشورهای روسیه و کره جنوبی دریافت کرده‌اند. این موضوع نشان می‌دهد که این تهدید به طور مداوم در حال تکامل است و نیاز به تقویت سیستم‌های امنیتی بیش از پیش احساس می‌شود.

منبع: https://www.tripwire.com/state-of-security/mimic-ransomware-what-you-need-know

مقاله قبلیانتشار بدافزار از طریق QR کد مخرب در نامه‌های پستی
مقاله بعدیبیمارستان بریتانیایی مورد هدف حمله سایبری قرار گرفته و به استفاده از کاغذ روی آورده

مقالات مرتبطمطالب پر بازدید

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.