Boletín de ciberseguridad – Ransomware Mimic variante “ELPACO”
Un grupo de ransomware ha estado causando estragos desde mediados de 2022, pero no fue hasta enero de 2023 cuando el equipo de Trend Micro lo detectó e investigó a fondo.
El ransomware en cuestión fue denominado Mimic por Trend Micro debido a un string en sus binarios. Sin embargo, también se le conoce como “.QUIETPLACE” por la extensión que utiliza al cifrar archivos. Este ransomware es una variante del builder de otro ransomware llamado “Conti”. Cuyo builder de Conti fue filtrado en 2022. Esta práctica es común en el mundo del ransomwares: grupos más pequeños aprovechan las filtraciones de grupos más grandes para crear sus propias versiones y comenzar sus propias operaciones. Mimic no es la excepción, ya que se ha detectado una variante de este ransomware denominada “ElPaco”. Esta amenaza, aunque debe tomarse en cuenta, su funcionamiento no difiere mucho al funcionamiento del ransomware principal y utiliza las mismas técnicas y servicios que este.
Mimic se infiltra mediante un troyano que descarga procesos legítimos, como 7zip, Everithing.dll y Everything.exe. Además, descarga otro archivo con contraseña llamado Everything64.dll, el cual contiene una carga de archivos maliciosos.
Diagrama del proceso de infección de Mimic.
Mimic aprovecha las APIs de Everything para encriptar los archivos de manera más rápida, utilizando múltiples hilos del procesador, lo que lo convierte en un proceso sofisticado y eficiente.
Mimic encripta archivos con una extensión particular: “.QUIETPLACE”. Por esta razón, también se le conoce con ese nombre. Al cifrar los archivos, se generará una nota de rescate con el nombre “Decrypt_me.txt” y, al iniciar el equipo, se presentará un texto idéntico al de la nota de rescate.
Imagen de la nota de rescate.
Como se mencionó, la variante de “ElPaco” no difiere mucho en su funcionamiento, ya que utiliza los mismos servicios y procesos que Mimic. La única notable es la creación de las llaves de servicio, las cuales se ven de la siguiente manera:
HKLM\SOFTWARE\Classes\.ELPACO-team\: "mimicfile"
HKLM\SOFTWARE\Classes\mimicfile\shell\open\command\: "notepad.exe
"C:\Users\user\AppData\Local\Decryption_INFO.txt""
Indicadores de Compromiso:
| IOC | Tipo |
| 08f8ae7f25949a742c7896cb76e37fb88c6a7a32398693ec6c2b3d9b488114be | SHA-25 |
| 9c16211296f88e12538792124b62eb00830d0961e9ab24b825edb61bda8f564f | SHA-256 |
| e67d3682910cf1e7ece356860179ada8e847637a86c1e5f6898c48c956f04590 | SHA-256 |
| c634378691a675acbf57e611b220e676eb19aa190f617c41a56f43ac48ae14c7 | SHA-256 |
| c71ce482cf50d59c92cfb1eae560711d47600541b2835182d6e46e0de302ca6c | SHA-256 |
| 7ae4c5caf6cda7fa8862f64a74bd7f821b50d855d6403bde7bcbd7398b2c7d99 | SHA-256 |
| a1eeeeae0eb365ff9a00717846c4806785d55ed20f3f5cbf71cf6710d7913c51 | SHA-256 |
| b0c75e92e1fe98715f90b29475de998d0c8c50ca80ce1c141fc09d10a7b8e7ee | SHA-256 |
| 1dea642abe3e27fd91c3db4e0293fb1f7510e14aed73e4ea36bf7299fd8e6506 | SHA-256 |
| 4a6f8bf2b989fa60daa6c720b2d388651dd8e4c60d0be04aaed4de0c3c064c8f | SHA-256 |
| b68f469ed8d9deea15af325efc1a56ca8cb5c2b42f2423837a51160456ce0db5 | SHA-256 |
| bb28adc32ff1b9dcfaac6b7017b4896d2807b48080f9e6720afde3f89d69676c | SHA-256 |
| bf6fa9b06115a8a4ff3982427ddc12215bd1a3d759ac84895b5fb66eaa568bff | SHA-256 |
| ed6cf30ee11b169a65c2a27c4178c5a07ff3515daa339033bf83041faa6f49c1 | SHA-256 |
| 480fb2f6bcb1f394dc171ecbce88b9fa64df1491ec65859ee108f2e787b26e03 | SHA-256 |
| 30f2fe10229863c57d9aab97ec8b7a157ad3ff9ab0b2110bbb4859694b56923f | SHA-256 |
| 2e96b55980a827011a7e0784ab95dcee53958a1bb19f5397080a434041bbeeea | SHA-256 |
| 136d05b5132adafc4c7616cd6902700de59f3f326c6931eb6b2f3b1f458c7457 | SHA-256 |
| c576f7f55c4c0304b290b15e70a638b037df15c69577cd6263329c73416e490e | SHA-256 |
Recomendaciones
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactor.
Referencias
- Morales, N. Earnshaw, E. Ladores, D. Dai, N. Ragasa, N. (2023. Enero 26) New Mimic Ransomware Abuses Everything APIs for its Encryption Process. Recuperado el 5 de diciembre del 2024 en: https://www.trendmicro.com/en_us/research/23/a/new-mimic-ransomware-abuses-everything-apis-for-its-encryption-p.html
- Meskauskas, T. (2023, Abril 24) Virus ransomware Mimic (.QUIETPLACE) - opciones de eliminación y descifrado. Recuperado el 5 de diciembre del 2024 en: https://www.pcrisk.es/guias-de-desinfeccion/11953-mimic-ransomware#main_component
- Cluley, G. (2024, Noviembre 28) Mimic Ransomware: What You Need To Know. Recuperado el 5 de diciembre del 2024 en: https://www.tripwire.com/state-of-security/mimic-ransomware-what-you-need-know
