La société de cybersécurité Trend Micro a révélé les détails d'un nouveau type de ransomware qui cible l'outil de recherche "Everything" de Windows pour attaquer les utilisateurs anglophones et russophones de Windows.
Le malware a été observé pour la première fois en juin 2022, et a "supprimé les clichés instantanés, mis fin à plusieurs applications et services, et abusé des fonctions de Everything32.dll pour fouiller les fichiers cibles à crypter".
Les chercheurs ont également découvert qu'une partie du code est partagée avec le célèbre ransomware Conti, qui a fait l'objet d'une fuite au début de l'année 2022 après une série d'attaques très médiatisées.
Une imitation de Windows Everything
Trend Micro a donné le nom de "Mimic" au ransomware qui, selon lui, est basé sur une chaîne de caractères trouvée dans ses binaires.
Il note comment Mimic arrive sur l'ordinateur d'un utilisateur affecté sous la forme d'un exécutable (bien qu'il ne soit pas confirmé si cela se fait par e-mail, par téléchargement, ou un autre biais), qui "dépose plusieurs fichiers binaires et une archive protégée par mot de passe, déguisée en Everything64.dll".
Les résultats révèlent que l'attaque se décompose en grande partie de fichiers légitimes, mais qu'un fichier contient les scripts malveillants.
Selon Trend Micro, la combinaison de plusieurs threads en cours d'exécution et la façon dont il abuse des API de Everything lui permettent de s'exécuter avec une utilisation minimale des ressources, ce qui se traduit par une exécution et une attaque plus efficaces.
La solution ? Comme toujours, l'entreprise estime qu'une approche à plusieurs niveaux fournira la meilleure sécurité, en appliquant notamment des mesures de protection, de sauvegarde et de récupération des données, en effectuant des évaluations régulières de la vulnérabilité et en installant des correctifs aux systèmes dès que des mises à jour de sécurité sont disponibles.
Il existe également toute une gamme de logiciels conçus pour prévenir et traiter les attaques contre les ordinateurs personnels et professionnels, ce qui constitue un niveau de protection supplémentaire.