Yakın zamanda geliştirilen bir kötü amaçlı yazılım türü, hızla fidye yazılımı saldırılarının önemli bir parçası haline geldi.
Bumblebee adlı bu kötü amaçlı yazılım, özellikle Symantec siber güvenlik araştırmacılarıgrupları tarafından kampanyalarla ilişkilendiren fidye yazılımıözellikle Conti, mountlocker ve Kuantum.
Symantec’in Tehdit Avcısı ekibi Bumblebee’de kıdemli tehdit analizi mühendisi olan Vishal Kamble, “Bumblebee’nin bir dizi yüksek profilli fidye yazılımı operasyonuyla olan bağları, onun artık siber suç ekosisteminin merkez üssünde olduğunu gösteriyor” dedi.
Orijinal kimlik avı
Quantum fidye yazılımını içeren yakın tarihli bir saldırı, Bumblebee’nin siber suçlular tarafından nasıl kullanıldığını gösteriyor. Saldırı bir ile başlar Kimlik avı e-postası Bumblebee yükleyiciyi gizleyen ve ek açılırsa kurbanın makinesinde çalıştıran bir ISO dosyası içerir.
Bumblebee, saldırganlara PC’de bir arka kapı sağlayarak operasyonların kontrolünü ele geçirmelerine ve komutları yürütmelerine olanak tanır. Oradan, saldırganlar yürütür Kobalt-Strike kontrolü ele geçirmek ve saldırılarını gerçekleştirmelerine yardımcı olabilecek makine hakkında daha fazla bilgi toplamak için sistemde.
Ardından Bumblebee, kurbanın makinesindeki dosyaları şifreleyen Quantum fidye yazılımı yükünü düşürür. Benzer teknikler, Conti ve Mountlocker fidye yazılımı grupları tarafından kampanyalarda kullanıldı ve araştırmacılar, daha önce kullanılan benzer yazılımların yerini Bumblebee’nin aldığına inanıyor.
“Bumblebee, bir yedek yükleyici olarak tanıtılmış olabilir. hile botu ve ÇarşıYükleyiciBumblebee’yi içeren son faaliyetler ile bu yükleyicilerle ilgili eski saldırılar arasında bir miktar örtüşme olduğu göz önüne alındığında, “dedi Kamble.
Kimlik avı, fidye yazılımı kampanyalarında yinelenen bir temadır. Araştırmacılar tarafından detaylandırılan durumda, kötü amaçlı yazılım bir kimlik avı e-postası yoluyla teslim edildi, ancak fidye yazılımı grupları, kullanıcı adlarını ve şifreleri çalmak için kimlik avı saldırıları da kullanıyor. özellikle bulut tabanlı uygulamalar ve hizmetler için.
Bu, yalnızca ağlara el koymalarına izin vermekle kalmaz, aynı zamanda bir meşru hesap (saldırıya uğramış olsa da) kötü niyetli etkinliğin bu kadar kolay tespit edilemeyebileceği anlamına gelir.
Kötü amaçlı yazılım geliştirme aşamasında
Bumblebee ilk olarak Google’ın Tehdit Analizi Grubundan araştırmacılar tarafından rapor edildi. İlk analizi yayınladı Yazılım, siber suçlular tarafından virüslü bir hedefe diğer kötü amaçlı yazılımları indirmek için kullanılan bir kötü amaçlı yazılım parçası olan “yükleyici” şeklini alır. “Bumblebee” adı, kötü amaçlı yazılımın tüm sürümlerinde ortak olan ve basit “bumblebee” dizesini içeren bir “kullanıcı aracısı”ndan gelir.
Diğer siber güvenlik şirketleri son birkaç ayda Bumblebee’yi inceledi. Fransız şirketi Sekoia dahil. Sekoia’nın kötü amaçlı yazılımın nasıl çalıştığına ve nasıl kullanıldığına ilişkin analizlerinden elde edilen bulgular Google’ın ve Symantec’in analizleriyle örtüşüyor, ancak Sekoia, kötü amaçlı yazılımın en son sürümlerinde Bumblebee tarafından kullanılan tekniklerde çeşitli değişiklikler olduğunu fark ederek kötü amaçlı yazılımın hala geliştirilme aşamasında olacağını gösteriyor. .
Kamble, “Ağlarında bir Bumblebee enfeksiyonu keşfeden herhangi bir kuruluş, birkaç tehlikeli fidye yazılımı tehdidinin başlangıç noktası olabileceğinden, bu olayı öncelikli olarak ele almalıdır.” Dedi.
Kaynak : “ZDNet.com”