Bumblebee, nouvelle coqueluche des cybercriminels

Bumblebee, nouvelle coqueluche des cybercriminels

Une forme de logiciel malveillant récemment développée est rapidement devenue un élément clé des attaques par ransomware.

Ce logiciel malveillant, appelé Bumblebee, a été notamment analysé par les chercheurs en cybersécurité de Symantec, qui l’ont associé à des campagnes menées par des groupes de ransomware, notamment Conti, Mountlocker et Quantum.

“Les liens de Bumblebee avec un certain nombre d’opérations de ransomware très médiatisées suggèrent qu’il est désormais à l’épicentre de l’écosystème de la cybercriminalité”, a déclaré Vishal Kamble, ingénieur principal en analyse des menaces au sein de l’équipe Threat Hunter de Symantec.

publicité

Le phishing à l’origine

Une attaque récente impliquant le ransomware Quantum illustre la façon dont Bumblebee est utilisé par les cybercriminels. L’attaque commence par un e-mail de phishing contenant un fichier ISO, qui cache le loader Bumblebee et l’exécute sur la machine de la victime si la pièce jointe est ouverte.

Bumblebee fournit aux attaquants une porte dérobée sur le PC, leur permettant de prendre le contrôle des opérations et d’exécuter des commandes. À partir de là, les attaquants exécutent Cobalt Strike sur le système afin de prendre le contrôle et de recueillir davantage d’informations sur la machine, ce qui peut les aider à mener leur attaque.

Ensuite, Bumblebee dépose la charge utile de Quantum ransomware, qui chiffre les fichiers sur la machine de la victime. Des techniques similaires ont été utilisées dans les campagnes des groupes de ransomware Conti et Mountlocker – et les chercheurs pensent que Bumblebee a pris la place des logiciels du même type utilisés précédemment.

“Bumblebee pourrait avoir été introduit en tant que loader de remplacement pour Trickbot et BazarLoader, étant donné qu’il existe un certain chevauchement entre les activités récentes impliquant Bumblebee et les attaques plus anciennes liées à ces loaders”, a déclaré Kamble.

Le phishing est un thème récurrent des campagnes de ransomware. Dans le cas détaillé par les chercheurs, le malware a été transmis par un e-mail de phishing, mais les groupes de ransomware utilisent également des attaques de phishing pour voler des noms d’utilisateur et des mots de passe, en particulier pour les applications et services basés sur le cloud.

Non seulement cela leur permet de mettre la main sur les réseaux, mais l’utilisation d’un compte légitime (bien que piraté) signifie que l’activité malveillante peut ne pas être détectée aussi facilement.

Un malware en developpement

Bumblebee a été signalé pour la première fois par les chercheurs de l’équipe Threat Analysis Group de Google, qui ont publié une première analyse de ce logiciel malveillant au mois de mars 2022. Le logiciel prend la forme d’un “loader”, un logiciel malveillant utilisé par les cybercriminels pour télécharger d’autres logiciels malveillants sur une cible infectée. Le nom “Bumblebee” provient d’un “user agent” commun à l’ensemble des versions du malware et contenant la simple chaîne de caractères “bumblebee”.

D’autres sociétés de cybersécurité se sont penchées sur Bumblebee au cours des derniers mois, dont la société française Sekoia. Les conclusions des analyses de Sekoia sur le fonctionnement du malware et son utilisation recoupent les analyses de Google et de Symantec, mais Sekoia remarque plusieurs évolutions des techniques employées par Bumblebee dans les versions les plus récentes du malware, ce qui indique que le malware serait toujours en développement.

“Toute organisation qui découvre une infection par Bumblebee sur son réseau doit traiter cet incident en priorité, car il peut être le point de départ de plusieurs menaces de ransomware dangereuses”, a déclaré M. Kamble.

Source : “ZDNet.com”

Leave a Reply

Your email address will not be published. Required fields are marked *