La société de cybersécurité Trend Micro a découvert les détails d’un nouveau type de rançongiciel qu’elle a trouvé ciblant l’outil de recherche « Tout » de Windows pour attaquer les utilisateurs Windows anglophones et russophones.
Le logiciel malveillant a été observé pour la première fois en juin 2022 et a « supprimé les clichés instantanés, mis fin à plusieurs applications et services et abusé des fonctions Everything32.dll pour interroger les fichiers cibles à chiffrer ».
Les chercheurs ont également découvert qu’une partie du code est partagée avec le célèbre rançongiciel Conti, qui a été divulgué au début de 2022 après une multitude d’attaques très médiatisées.
Imitez tout Windows
Trend Micro a attribué le nom « Mimic » au ransomware, qui, selon lui, est basé sur une chaîne trouvée dans ses fichiers binaires.
Il note comment Mimic arrive sur l’ordinateur d’un utilisateur affecté en tant qu’exécutable (bien qu’il ne soit pas confirmé s’il s’agit d’un e-mail, d’un téléchargement, etc.), qui « supprime plusieurs fichiers binaires et une archive protégée par mot de passe (déguisée en Everything64.dll) ».
Les résultats révèlent que l’attaque est en grande partie composée de fichiers légitimes, mais qu’un fichier contient les charges utiles malveillantes.
Trend Micro affirme que cette combinaison de plusieurs threads en cours d’exécution et la façon dont il abuse des API de Everything lui permet de fonctionner avec une utilisation minimale des ressources, ce qui se traduit par une exécution et une attaque plus efficaces.
La solution? Comme toujours, la société estime qu’une approche multicouche fournira la meilleure sécurité, y compris l’application de mesures de protection, de sauvegarde et de récupération des données, la réalisation d’évaluations régulières des vulnérabilités et la mise à jour des systèmes dès que les mises à jour de sécurité seront disponibles.
Il existe également toute une gamme de logiciels conçus pour prévenir et traiter les attaques contre les ordinateurs personnels et professionnels pour une couche de protection supplémentaire.