Siber güvenlik araştırmacılarına göre, yaban arısı yükleyicisi artık fidye yazılımı ekosisteminde bir sevgili.
Fidye yazılımı saldırıları mühendisliği söz konusu olduğunda, yeni bir kötü amaçlı yazılım artık önemli bir bileşendir. Bumblebee adıyla geçen kötü amaçlı yazılım, yakın zamanda Symantec araştırmacıları tarafından analiz edildi. Siber güvenlik araştırmacılarına göre Bumblebee, Quantum, Conti ve Mountlocker gibi fidye yazılımı operasyonlarıyla bağlantılı. Bu bağlantı, Bumblebee’nin şu anda siber suç topluluğunun kalbinde olduğunun açık bir göstergesidir.
Kuantum içeren bir ek, siber suçluların fidye yazılımı sağlamak için bu yeni kötü amaçlı yazılımı kullanma biçimine de ışık tuttu. Önce bir ISO dosyası içeren bir kimlik avı e-postasıyla başlar. Bu dosya, Bumblebee yükleyicisinin gizlenmesini sağlar. Daha sonra kurban e-postayı açtığında hedef makineye saldırır.
Bumblebee, saldırganların bilgisayarınıza erişmek için kullandıkları, komutları çalıştırmalarına ve diğer tüm işlemleri kontrol etmelerine izin veren bir arka kapı gibidir. Saldırganlar PC’nize eriştiklerinde, daha fazla kontrol elde etmek ve makinenizden ihtiyaç duydukları kadar bilgi toplamak için Cobalt Strike’ı çalıştırabilirler. Bu bilgiler, siber güvenlik gruplarının niyet ettikleri herhangi bir saldırıyı gerçekleştirmeleri için faydalıdır.
Bumble daha sonra erişilen makinedeki önemli dosyaları şifreleyen kuantum fidye yazılımı yükünü düşürür.
Araştırmacılar Bumblebee’yi Önceki Saldırılara Bağladı
Symantec’te baş tehdit analizi mühendisi olan Kamble’a göre, Bumblebee, Trickbot ve BazarLoader’ın yerine bir yükleyici olarak başlatılmış olabilir, çünkü Bumblebee ile son faaliyetlerde ve bu yükleyicilerle bağlantılı daha önceki saldırılarda bir örtüşme var.
Bağlantı, Active Directory’yi sorgulamak için genel bir araç olan ve geçmişte diğer saldırganlara saldırmak için kullanılmış olan AdFind’in kullanılmasıyla izlenebilir. Bir sisteme saldırmak için bir ISO dosyasının kullanılması, Haziran 2021’e kadar uzanan önceki saldırıların kurbanları için birincil bulaşma noktasıydı. Dosya, Conti ve Ryuk adlı iki tehdit grubu tarafından kullanıldı.
Bumblebee Yazılımından Beklenen Zararlar
Bumblebee kötü amaçlı yazılımı, kötü amaçlı kod çalıştırmak ve Meterpreter DLL enjeksiyonunun ve Cobalt Strike’ın yüklenmesine yardımcı olmak için bir indirici olarak işlev görür. Bumblebee’nin küçük boyutu, suçluların yanı sıra siber suçlular için de tercih edilen çok işlevli bir araç olacaktır.
Bumblebee genellikle DocuSign’ın bir E-İmza Çözümleri firmasından geliyormuş gibi sunarak kurbanları tuzağa çekmek için kimlik avı girişiminde kullanılana benzer sahte e-postalarda kullanılır. Ayrıca, kullanıcıyı tehlikeli kısayollar olarak Bumblebee kötü amaçlı yazılımını içeren bir ISO dosyasının yanı sıra DLL dosyalarını içeren Microsoft OneDrive bağlantısına götüren kötü amaçlı yazılım yüklü HTML ekleri veya sahte bağlantılar olarak da görünebilir.
Bumblebee kötü amaçlı yazılım indiricilerinin farklı sistemleri hacklediği ve ardından istismar edilen bilgisayarlara erişim ve bilgi sattığı bilinmektedir. TrickBot’a benzer şekilde, Bumblebee kötü amaçlı yazılımı da bir web-inject modülü kullanır ve aynı kaçınma yöntemini kullanır.
Kimlik avı, tüm fidye yazılımı kampanyalarında çalışan sık görülen bir kalıptır. Araştırmacılar tarafından özetlenen örnekte, bir kimlik avı mesajı yoluyla iletildi. Bununla birlikte, fidye yazılımı çeteleri, özellikle bulut tabanlı hizmetler ve uygulamalar için parolaları ve kullanıcı adlarını çalmak için kimlik avı saldırıları da kullanabilir.
Bu, yalnızca ağlara erişmelerini sağlamakla kalmaz, aynı zamanda (güvenliği ihlal edilmişse) gerçek bir hesaba sahip olarak, suç faaliyeti o kadar hızlı ve sık bir şekilde tespit edilmez, geç olana ve fidye yazılımı saldırısı başlayana kadar olmaz.
Kuruluşlar Bumble Kötü Amaçlı Yazılımlardan Kendilerini Nasıl Koruyabilir?
Fidye yazılımı siber güvenlik uzmanları için bir sorun olmaya devam etse de, saldırılara karşı korunmanın yolları vardır. Bu, saldırganların ağlara erişmesini engellemek için çok faktörlü sistemin kullanılmasını ve siber suçluların bilinen zayıflıklardan yararlanmasını önlemek için hızlı bir şekilde güvenlik yamalarının uygulanmasını içerir.
İşletmelerin ağlarından haberdar olmaları ve olağandışı etkinliklere dikkat etmeleri eşit derecede önemlidir, çünkü bu, bir şeylerin doğru olmadığına dair kanıt sağlayabilir ve güvenlik personeli tam bir fidye yazılımı saldırısını durdurmak için harekete geçebilir.