Europol’ün kötü amaçlı yazılım botnet’lerine karşı tam kapsamlı bir engelleme çabası başlatmasından sadece birkaç ay sonra, ana hedeflerinden biri olan Bumblebee adlı kötü amaçlı yazılım indirici bir canlanma sahneye çıkmış gibi görünüyor.
Bu gelişmiş kötü amaçlı yazılım parçası, siber suçlular tarafından kurumsal ağlara sızmak için yaygın olarak kullanıldı ve kolluk kuvvetlerinin dikkatini çeken de tam olarak etkinliği oldu. Mayıs ayında Europol, IcedID, Trickbot, Smokeloader, SystemBC ve Pickabot’un yanı sıra Bumblebee dahil olmak üzere çeşitli botnet’leri tam ölçekli olarak kaldırmaya başladı. Oyun Sonu Operasyonu adı verilen çok yönlü çaba, kendi yetki alanlarında saklanan siber suçluları yakalayıp durdurmaya yönelik gösterişli ve oldukça duyurulan bir eylemdi.
Mayıs ayındaki botnet çöküşüne ek olarak Endgame Operasyonu, iddia edilen rolleri nedeniyle Avrupa’nın en çok aranan kaçaklar listesine sekiz Rus vatandaşını ekledi. Emotet botnet geliştiricileri. Haziran ortasına gelindiğinde, Endgame Operasyonu bir kişiyi tutukladı: 28 yaşındaki Ukraynalı bir adam, geliştirici olarak çalışmakla suçlanıyordu. Rus fidye yazılımı grupları Conti ve LockBit.
Bumblebee Yeniden Uçuşa Geçiyor
Botnet, ilk olarak Mart 2022’de Google Tehdit Analizi Grubu tarafından tanımlandı ve adlandırıldı. Mayıs ayında yayından kaldırılmasından bu yana şu ana kadar Bumblebee’ye dair herhangi bir iz görülmedi. Netskope’taki araştırmacılar, Bumblebee’nin genellikle botnet ile ilişkili olmayan bir yük ile birlikte kullanılan yeni bir örneğini buldu; bu, bunun kötü amaçlı yazılım indiricisinin yeni bir yinelemesi olduğunu gösteriyor.
Netskope araştırmacıları yakın tarihli bir yazısında şöyle yazdı: “Nihai yükü iletmek için kullanılan enfeksiyon zinciri yeni değil, ancak Bumblebee tarafından kullanıldığını ilk kez görüyoruz.” blog yazısı. “Bu faaliyetler Bumblebee’nin tehdit ortamında yeniden ortaya çıktığını gösterebilir.”
Yeniden ortaya çıkması pek sürpriz olmayacaktır. Diğer değerli botnet türleri gibi Duygu aynı şekilde ölümden dirildiler. 2021’de kolluk kuvvetleri tarafından bir süreliğine kesintiye uğrasa da Emotet intikamla geri döndü ve yeni işlevsellik.
Keeper Security’nin güvenlik ve mimariden sorumlu başkan yardımcısı Patrick Tiquet, Bumblebee’nin kimlik avı, kötü amaçlı reklam ve SEO zehirlenmesi gibi çeşitli yöntemlerle yayıldığı biliniyor.
DoControl’ün kıdemli ürün direktörü Tamir Passi’ye göre Bumblebee’nin en son saldırı zincirinin savunmacılar tarafından tespit edilmesi önceki versiyonlara göre çok daha zor. Passi, “Bu sürümü özellikle endişe verici kılan şey, gelişmişliğidir” diyor. “Daha önce gördüğümüz gürültülü, bariz saldırılar yerine, tespit edilmeyi zorlaştıran daha gizli bir yaklaşım kullanıyor. Saldırganlar, MSI yükleyicileri gibi meşru araçlardan yararlanıyor; temelde göz önünde saklanıyorlar.”
Bumblebee’nin kurumsal bir ağa girmesinden sonra yaşananların daha da korkutucu olduğunu ekliyor.
Passi, “Ama asıl heyecan verici nokta şu; bu sadece bireysel makinelerden ödün vermekle ilgili değil” diyor. “Saldırganlar erişim elde ettikten sonra potansiyel olarak kimlik bilgilerini toplayabilir ve SaaS uygulamaları da dahil olmak üzere her türlü kurumsal kaynağa erişebilirler. Bir düşünün; başarılı bir kimlik avı e-postası, tüm bulut ortamınızda yaygın erişime yol açabilir.”
Tiquet, risklerin bu kadar yüksek olduğu bir ortamda siber güvenlik ekiplerinin kullanıcı farkındalığı eğitimi, sıfır güven siber güvenlik modeli, güçlü şifre güvenliği ve daha fazlasının sağlıklı bir kombinasyonuna güvenmesi gerektiğini tavsiye ediyor.
Kolluk kuvvetleri, büyük siber suç operasyonlarının etkinliğini azaltmak için ellerinden geleni yapmaya devam edecek, ancak kurumsal siber güvenlik ekipleriyle birlikte zorlu, motivasyonu yüksek rakiplerle karşı karşıyalar.
Critical Start’ın siber tehdit araştırmalarından sorumlu kıdemli yöneticisi Callie Guenther, “Bumblebee’nin Endgame Operasyonu’ndan sonra yeniden ortaya çıkışı, geliştirilmesinden sorumlu olduğuna inanılan grubun uyum sağlama yeteneğini gösteriyor” diyor. “Kolluk kuvvetlerinin faaliyetlerini aksatmaya yönelik çabalarına rağmen, oyuncular iyi hazırlanmış acil durum planlarına işaret ederek Bumblebee’yi hızla yeniden uygulamaya koydular.”