Die Hummel sticht

Eine kürzlich entwickelte Form von Malware hat sich schnell zu einer Schlüsselkomponente für Ransomware-Angriffe entwickelt. Die Schadsoftware mit dem Namen Bumblebee (Hummel) wurde von Cybersecurity-Forschern bei Symantec analysiert, die sie mit Ransomware-Operationen wie Conti, Mountlocker und Quantum in Verbindung bringen.

„Die Verbindungen von Bumblebee zu einer Reihe hochkarätiger Ransomware-Operationen deuten darauf hin, dass er sich jetzt im Epizentrum des Ökosystems der Cyberkriminalität befindet“, so Vishal Kamble, leitender Ingenieur für Bedrohungsanalyse im Threat Hunter-Team von Symantec.

Ein kürzlich erfolgter Angriff gibt Aufschluss darüber, wie Bumblebee von Cyber-Kriminellen zur Verbreitung von Ransomware eingesetzt wird. Der Angriff beginnt mit einer Phishing-E-Mail, die eine ISO-Datei enthält, in der der Bumblebee-Loader versteckt ist und auf dem Computer des Opfers ausgeführt wird, wenn der Anhang geöffnet wird.

Bumblebee verschafft den Angreifern eine Hintertür zum PC und ermöglicht es ihnen, die Kontrolle über den Betrieb zu übernehmen und Befehle auszuführen. Von hier aus führen die Angreifer Cobalt Strike auf dem System aus, um weitere Kontrolle zu erlangen und weitere Informationen vom Rechner zu sammeln, die bei der Durchführung des Angriffs helfen können.

Danach setzt Bumblebee die Quantum-Ransomware-Nutzlast ab, die die Dateien auf dem Rechner des Opfers verschlüsselt. Ähnliche Techniken wurden in den Kampagnen der Ransomware-Gruppen Conti und Mountlocker verwendet – und die Forscher glauben, dass Bumblebee den Platz der zuvor verwendeten Backdoors eingenommen hat.

„Bumblebee könnte als Ersatz-Loader für Trickbot und BazarLoader eingeführt worden sein, da es gewisse Überschneidungen zwischen den jüngsten Aktivitäten mit Bumblebee und älteren Angriffen gibt, die mit diesen Loadern in Verbindung stehen“, so Kamble.

Phishing zieht sich wie ein roter Faden durch alle Ransomware-Kampagnen. In dem von den Forschern beschriebenen Fall wurde die Malware über eine Phishing-E-Mail verbreitet, aber Ransomware-Banden nutzen Phishing-Angriffe auch, um Benutzernamen und Kennwörter zu stehlen, insbesondere für Cloud-basierte Anwendungen und Dienste.

Dies ermöglicht es ihnen nicht nur, in Netzwerke einzudringen, sondern die Verwendung eines legitimen (wenn auch gehackten) Kontos bedeutet auch, dass bösartige Aktivitäten nicht so leicht entdeckt werden – oft erst, wenn es zu spät ist und ein Ransomware-Angriff ausgelöst wurde.

Obwohl Ransomware nach wie vor ein großes Problem für die Cybersicherheit darstellt, gibt es Maßnahmen, die zur Verhinderung von Angriffen beitragen können. Dazu gehören die Verwendung einer Multi-Faktor-Authentifizierung für alle Konten, um zu verhindern, dass sich Angreifer Zugang zu Netzwerken verschaffen, sowie die rasche Anwendung von Sicherheits-Patches, um zu verhindern, dass Cyber-Kriminelle bekannte Schwachstellen ausnutzen.

Es ist auch wichtig, dass Unternehmen ihre Netzwerke auf potenziell ungewöhnliche Aktivitäten überwachen, da dies ein Hinweis darauf sein kann, dass etwas nicht in Ordnung ist – und Informationssicherheitsteams können Maßnahmen ergreifen, um einen vollständigen Ransomware-Angriff zu verhindern.

„Jedes Unternehmen, das eine Bumblebee-Infektion in seinem Netzwerk entdeckt, sollte diesen Vorfall mit hoher Priorität behandeln, da er der Weg zu mehreren gefährlichen Ransomware-Bedrohungen sein könnte“, so Kamble.