MIMIC Ransomware

El ransomware Mimic es un programa malicioso de cifrado diseñado para exigir rescates por la liberación de archivos cifrados. Basado en el constructor de ransomware CONTI, Mimic ha sido observado en campañas dirigidas a usuarios de habla inglesa y rusa. Después de ejecutar una muestra de Mimic en pruebas, se ha identificado que cifra archivos añadiendo la extensión ".QUIETPLACE" a sus nombres. Este ransomware es sofisticado y puede eliminar instantáneas de volumen, terminar programas y servicios, incluido Microsoft Defender, y aplicar medidas para evitar la detección y terminación. Después del cifrado, Mimic despliega notas de rescate idénticas en una pantalla previa al inicio de sesión y en un archivo de texto llamado "Decrypt_me.txt". Las notas instan a las víctimas a pagar un rescate en Bitcoin y proporcionan información de contacto. Aunque se aconseja no pagar el rescate, la eliminación del ransomware es esencial para evitar más daños. La recuperación de archivos comprometidos puede requerir copias de seguridad almacenadas en ubicaciones seguras. Además, se destacan otros ejemplos de ransomware y se brindan consejos sobre cómo protegerse y cómo actuar en caso de infección.

Funcionamiento

Cuando se ejecuta una muestra de Mimic en un sistema de pruebas, realiza el cifrado de archivos y añade la extensión ".QUIETPLACE" a los nombres de archivo afectados. Por ejemplo, un archivo inicialmente llamado "1.jpg" se transformaría en "1.jpg.QUIETPLACE", y así sucesivamente. Después de este proceso, Mimic crea notas de rescate idénticas tanto en una pantalla que se muestra antes de la pantalla de inicio de sesión como en un archivo de texto titulado "Decrypt_me.txt".

Mimic demuestra ser un ransomware sofisticado con diversas funcionalidades. Tiene la capacidad de eliminar instantáneas de volumen y finalizar varios programas y servicios, incluido Microsoft Defender. Este malware utiliza medidas de evasión y anti-terminación, además de impedir que los usuarios pongan el dispositivo en reposo o lo apaguen.

En el sistema de prueba, Mimic genera mensajes de rescate en una pantalla mostrada previamente a la pantalla de inicio de sesión y en un archivo de texto llamado "Decrypt_me.txt". Ambas notas son idénticas y notifican a las víctimas que sus archivos han sido cifrados. Estos mensajes instan a las víctimas a realizar un pago de rescate en Bitcoin para obtener la clave de descifrado. Las instrucciones incluyen ponerse en contacto con los atacantes y enviarles un identificador único, así como hasta tres archivos cifrados para realizar una prueba de descifrado. Las notas advierten que la cantidad del rescate no es negociable, pero sugieren que las víctimas podrían recuperar los datos por $1 por archivo.

Basándose en la experiencia en la investigación de infecciones de ransomware, se concluye que, por lo general, el descifrado sin la intervención de los ciberdelincuentes es difícil. Además, incluso al cumplir con las demandas de rescate, las víctimas a menudo no reciben las herramientas necesarias para descifrar sus datos, y por eso se aconseja firmemente en contra de pagar y apoyar involuntariamente esta actividad ilegal.

En términos de propagación, el ransomware Mimic y otros programas maliciosos suelen distribuirse mediante técnicas de phishing e ingeniería social. Los archivos maliciosos pueden presentarse como ejecutables, documentos de Microsoft Office, archivos comprimidos, JavaScript, entre otros. Las descargas "drive-by", archivos adjuntos maliciosos en correos electrónicos y enlaces en correo basura, estafas en línea, sitios de descarga dudosos, herramientas ilegales de activación de software, actualizadores falsos y publicidad maliciosa son algunos de los métodos de distribución comunes.

En cuanto a la estructura del ransomware Mimic, se ha identificado que utiliza una extensión específica ".QUIETPLACE" para marcar los archivos cifrados y tiene una serie de contactos de ciberdelincuentes, como el servicio de mensajería TOX, ICQ, Skype, y una dirección de correo electrónico en la red .onion. Además, se proporcionan instrucciones detalladas sobre cómo realizar el pago del rescate en Bitcoin.

Impacto y Consecuencias

El impacto y las consecuencias de un ataque de ransomware como Mimic pueden ser significativos y perjudiciales para individuos, empresas y organizaciones. A continuación, se describen las diversas áreas afectadas:

  1. Cifrado de Datos:
    • Pérdida de Acceso:
      • El ransomware Mimic cifra archivos críticos y valiosos en el sistema de la víctima, lo que resulta en la pérdida de acceso a datos importantes. Estos archivos pueden incluir documentos, imágenes, videos y otros datos esenciales para el funcionamiento diario o las operaciones comerciales.
  2. Interrupción de Operaciones:
    • Paralización de Actividades:
      • El cifrado de datos puede paralizar operaciones diarias y procesos comerciales. La pérdida de acceso a información vital puede afectar la productividad y causar interrupciones significativas en las operaciones normales.
  3. Extorsión y Pago de Rescate:
    • Demanda de Pago:
      • Mimic exige un rescate en moneda digital, generalmente Bitcoin, a cambio de proporcionar la clave de descifrado. Las víctimas se enfrentan a la difícil decisión de pagar o no. Aunque los expertos en ciberseguridad y las autoridades desaconsejan el pago de rescates, algunas organizaciones pueden considerar esta opción para recuperar sus datos, a pesar de que no garantiza la restauración completa.
  4. Reputación y Confianza:
    • Daño a la Reputación:
      • Las organizaciones afectadas pueden sufrir daños significativos en su reputación debido a la pérdida de datos sensibles y la interrupción de servicios. La confianza de los clientes y socios puede disminuir, y la percepción pública de la seguridad de la empresa puede verse comprometida.
  5. Costos Financieros:
    • Gastos de Recuperación:
      • La recuperación de un ataque de ransomware implica costos significativos. Esto incluye el costo de expertos en ciberseguridad, posibles honorarios legales, la inversión en nuevas medidas de seguridad y la posible pérdida de ingresos durante el tiempo que lleva restaurar completamente las operaciones.
  6. Posible Pérdida de Datos Sensibles:
    • Compromiso de Información Confidencial:
      • Dependiendo de la naturaleza de los datos cifrados, puede haber una amenaza adicional si la información sensible cae en manos equivocadas. Esto podría incluir datos de clientes, información financiera, secretos comerciales u otra información confidencial.
  7. Impacto Psicológico y Estrés:
    • Efectos Personales:
      • Los individuos afectados, ya sea en el ámbito personal o empresarial, pueden experimentar estrés psicológico significativo. La pérdida de datos personales o críticos puede tener un impacto emocional y psicológico en las víctimas.
  8. Medidas de Seguridad Adicionales:
    • Reevaluación de la Seguridad:
      • Después de un ataque, las organizaciones suelen tener que reevaluar y fortalecer sus medidas de seguridad. Esto puede implicar la implementación de nuevas políticas de seguridad, la adopción de tecnologías más avanzadas y la capacitación continua del personal en ciberseguridad.

Origen y Motivación

Mimic es un ransomware que se presume se basa en el constructor de ransomware CONTI, filtrado previamente. Su motivación principal es cifrar datos en sistemas informáticos y exigir rescates a las víctimas para descifrar la información. El malware ha sido observado en campañas dirigidas a usuarios de habla inglesa y rusa, y muestra una sofisticación al eliminar instantáneas de volumen, terminar programas y servicios, incluido Microsoft Defender, y aplicar medidas antidetección y antiterminación. Una vez que ha cifrado los archivos, Mimic despliega mensajes de rescate en la pantalla de inicio de sesión y un archivo de texto, indicando a las víctimas que paguen un rescate en Bitcoin para recuperar sus datos, aunque existe la posibilidad de recuperación por $1 por archivo. La eliminación de Mimic del sistema se vuelve crucial para evitar la encriptación continua de archivos, aunque la recuperación de datos comprometidos generalmente depende de la intervención de los ciberdelincuentes, a pesar de cumplir con las demandas de rescate. Se enfatiza fuertemente la recomendación de no pagar para no respaldar actividades ilegales y la importancia de mantener copias de seguridad en ubicaciones diversas para mitigar el impacto de amenazas como Mimic.