La empresa de ciberseguridad Trend Micro ha descubierto detalles de un nuevo tipo de ransomware que encontró dirigido a la herramienta de búsqueda «Todo» de Windows para atacar a los usuarios de Windows de habla inglesa y rusa.
El malware se observó por primera vez en junio de 2022 y ha estado «eliminando instantáneas, finalizando múltiples aplicaciones y servicios, y abusando de las funciones de Everything32.dll para consultar archivos de destino que se van a cifrar».
Los investigadores también descubrieron que parte del código se comparte con el notorio ransomware Conti, que se filtró a principios de 2022 después de una serie de ataques de alto perfil.
Imitar Windows Todo
Trend Micro ha indicado el nombre ‘Mimic’ al ransomware, que dice que se basa en una cadena que encontró en sus archivos binarios.
Señala cómo Mimic llega a la computadora de un usuario afectado como un ejecutable (aunque no está confirmado si esto es por correo electrónico, una descarga, etc.), que «suelta múltiples archivos binarios y un archivo protegido por contraseña (disfrazado como Everything64.dll)».
Los hallazgos revelan que el ataque se compone en gran parte de archivos legítimos, sin embargo, un archivo contiene las cargas maliciosas.
Trend Micro dice que esta combinación de múltiples subprocesos en ejecución y la forma en que abusa de las API de Everything le permite ejecutarse con un uso mínimo de recursos, lo que resulta en una ejecución y un ataque más eficientes.
¿La solución? Como siempre, la empresa considera que un enfoque de varias capas proporcionará la mejor seguridad, incluida la aplicación de medidas de protección, copia de seguridad y recuperación de datos, y la realización de evaluaciones periódicas de vulnerabilidades y parches de sistemas tan pronto como las actualizaciones de seguridad estén disponibles.
También hay una amplia gama de software diseñado para prevenir y tratar ataques a computadoras personales y comerciales para una capa adicional de protección.