Недавно появившийся штамм вредоносного ПО быстро стал ключевым компонентом в атаках шифровальщиков.
Вредоносная программа под названием «Bumblebee» была проанализирована исследователями кибербезопасности из Symantec, которые связали ее с такими группировками шифровальщиков, как Conti, Mountlocker и Quantum.
«Связи Bumblebee с рядом громких групп шифровальщиков позволяют предположить, что сейчас он находится в эпицентре экосистемы киберпреступности» - заявил Вишал Камбл, главный инженер по анализу угроз в команде Threat Hunter компании Symantec.
Недавняя атака с участием Quantum проливает свет на то, как Bumblebee используется киберпреступниками для доставки шифровальщиков. Атака начинается с фишингового письма, содержащего ISO-файл, который скрывает загрузчик Bumblebee и запускает его на машине жертвы, если открыть вложение.
Bumblebee предоставляет злоумышленникам бэкдор, позволяя им взять под контроль систему и выполнять команды. После этого злоумышленники запускают на машине Cobalt Strike для дальнейшего контроля и сбора дополнительной информации, которая может помочь в проведении атаки.
После этого Bumblebee сбрасывает полезную нагрузку шифровальщика Quantum, шифруя файлы на машине жертвы. Похожие методы использовались в кампаниях групп Conti и Mountlocker - и исследователи считают, что Bumblebee занял место ранее использовавшихся бэкдоров.
«Возможно, Bumblebee был представлен в качестве замены загрузчика для Trickbot и BazarLoader, поскольку наблюдается некоторое совпадение между недавней активностью с участием Bumblebee и более старыми атаками, связанными с этими загрузчиками» - сообщил Камбл.
Фишинг является общей темой для всех кампаний вымогателей. В случае, описанном исследователями, вредонос был доставлен с помощью фишингового письма, но банды шифровальщиков также используют фишинговые атаки для кражи логинов и паролей, особенно для облачных приложений и сервисов.
Это не только позволяет им проникать в сети, но и использовать легитимные (пусть и взломанные) учетные записи, что добавляет сложности в обнаружении вредоносной активности – зачастую атаку не замечают до тех пор, пока не станет слишком поздно и не начнется шифрование файлов.
Хотя шифровальщики все еще являются серьезной проблемой кибербезопасности, есть шаги, которые можно предпринять для предотвращения атак. К ним относится использование многофакторной аутентификации учетных записей, чтобы предотвратить получение злоумышленниками доступа к сетям, а также быстрое применение исправлений безопасности, чтобы киберпреступники не использовали известные уязвимости.
Также важно, чтобы компании мониторили свои сети на предмет потенциально необычной активности, так как это может свидетельствовать о том, что что-то идет не так - и команды информационной безопасности могут принять меры для предотвращения полномасштабной атаки вымогателей.
«Любая организация, обнаружившая в своей сети вредонос Bumblebee, должна отнестись к этому инциденту с повышенным вниманием, поскольку его наличие может предварять атаку других опаснейших угроз» - закончил Камбл.
Источник: https://www.zdnet.com