Credit image: Pixabay
Ransomware merupakan musuh nomor satu di dunia maya, ancaman ini selalu bikin pusing kepala banyak perusahaan seperti ransomware Mimic Incar Everything yang cukup meresahkan.
Peneliti keamanan menemukan ransomware baru yang mereka beri nama Mimic yang memanfaatkan API dari alat pencarian file ‘Everything’ untuk Windows guna mencari file yang ditargetkan untuk enkripsi.
Ditemukan pada Juni 2022 malware tersebut tampaknya menargetkan pengguna berbahasa Inggris dan Rusia.
Beberapa kode di Mimic memiliki kemiripan dengan ransomware Conti, yang source code-nya dibocorkan pada Maret 2022 oleh seorang peneliti Ukraina.
|
Baca juga: Panduan Ransomware Singkat |
Modus Operandi
Serangan ransomware Mimic dimulai dengan korban menerima file yang dapat dieksekusi, mungkin melalui email, yang mengekstraksi empat file pada sistem target, termasuk muatan utama, file tambahan, dan alat untuk menonaktifkan Windows Defender.
Mimic adalah jenis ransomware serbaguna yang mendukung argumen baris perintah untuk mempersempit penargetan file.
Selain itu, ransomware ini juga dapat menggunakan banyak utas prosesor untuk mempercepat proses enkripsi data.
Keluarga ransomware baru menampilkan beberapa kemampuan yang terlihat pada jenis modern, seperti:
- Mengumpulkan informasi sistem
- Membuat persistensi melalui tombol RUN
- Melewati Kontrol Akun Pengguna (UAC)
- Menonaktifkan Pembela Windows
- Menonaktifkan telemetri Windows
- Mengaktifkan tindakan anti-shutdown
- Mengaktifkan tindakan anti-pembunuhan
- Melepas Drive Virtual
- Mengakhiri proses dan layanan
- Menonaktifkan mode tidur dan mematikan sistem
- Menghapus indikator
- Menghambat Pemulihan Sistem
Membunuh proses dan layanan bertujuan untuk menonaktifkan tindakan perlindungan dan membebaskan data penting seperti file database, membuatnya tersedia untuk enkripsi.
|
Baca juga: Anatomi Serangan Ransomware |
Menyalahgunakan Everything
“Everything” adalah nama mesin pencari nama file populer untuk Windows yang dikembangkan oleh Voidtools. Utilitasnya ringan dan cepat, menggunakan sumber daya sistem minimal, dan memiliki dukungan untuk pembaruan waktu nyata.
Mimic ransomware menggunakan kemampuan pencarian Everything dalam bentuk ‘Everything32.dll’ yang disusupkan selama tahap infeksi untuk menanyakan nama file dan ekstensi tertentu di sistem yang disusupi.
Everything membantu Mimic menemukan file yang valid untuk dienkripsi sambil menghindari file sistem yang akan membuat sistem tidak dapat di-boot jika terkunci.
File yang dienkripsi oleh Mimic mendapatkan ekstensi “.QUIETPLACE”. Catatan tebusan juga dikirim, menginformasikan tuntutan pelaku dan bagaimana data dapat dipulihkan setelah membayar uang tebusan dalam Bitcoin.
Mimic adalah ransomware baru dengan aktivitas yang belum terbukti, tetapi penggunaan pembuat Conti dan API Everything membuktikan bahwa pelakunya adalah pengembang perangkat lunak yang kompeten yang memiliki pemahaman yang jelas tentang bagaimana mereka dapat mencapai tujuan mereka.
|
Baca lainnya: |
Sumber berita:
