Categories: SicherheitVirus

Bumblebee: Cybererpresser setzen auf neue Malware zur Verbreitung von Ransomware

Symantec hat eine neue Form von Schadsoftware analysiert, die sich zu einer Schlüsselkomponente bei Ransomware-Angriffen entwickelt hat. Die Forscher fanden Verbindungen zwischen der Bumblebee genannten Malware und den Ransomware-Gruppen Conti, Mountlocker und Quantum.

„Die Verbindungen von Bumblebee zu einer Reihe hochkarätiger Ransomware-Operationen deuten darauf hin, dass es sich jetzt im Epizentrum des Ökosystems der Cyberkriminalität befindet”, so Vishal Kamble, Principal Threat Analysis Engineer im Threat Hunter-Team von Symantec.

Wie Bumblebee von den Cybererpressern eingesetzt wird fanden die Symantec-Forscher bei der Untersuchung der jüngsten Angriffe mit der Ransomware Quantum heraus. Demnach beginnen die Attacken mit Phishing-E-Mails, an die eine ISO-Datei angehängt wurde. Diese Datei versteckt den Loader Bumblebee, der wiederum auf dem Rechner eines Opfers ausgeführt wird, falls der Anhang geöffnet wird.

Bumblebee ersetzt Trickbot

Bumblebee richtet dann eine Hintertür ein, über die ein Angreifer die vollständige Kontrolle übernehmen und Befehle ausführen kann. Diese Fähigkeiten nutzen sie, um das eigentlich legitime Pentest-Tool Cobalt Strike einzuschleusen. Es erweitert den Zugriff auf das System.

Erst danach wird den Forschern zufolge Bumblebee benutzt, um die eigentliche Ransomware Quantum zu installieren und alle Dateien auf dem System des Opfers zu verschlüsseln. Ähnliche Techniken würden auf für die Conti- und Mountlocker-Kampagnen benutzt. „Bumblebee wurde möglicherweise als Ersatz-Loader für Trickbot und BazarLoader eingeführt, da es gewisse Überschneidungen zwischen den jüngsten Aktivitäten mit Bumblebee und älteren Angriffen gibt, die mit diesen Loadern in Verbindung stehen“, ergänzte Symantec.

„Jedes Unternehmen, das eine Bumblebee-Infektion in seinem Netzwerk entdeckt, sollte diesen Vorfall mit hoher Priorität behandeln, da er der Weg zu mehreren gefährlichen Ransomware-Bedrohungen sein könnte”, warnte Symantec. Unternehmen sollten unter anderem Nutzerkonten mit einer Zwei-Faktor-Authentifizierung schützen und verfügbare Sicherheitspatches zeitnah einspielen, um mögliche Ransomware-Angriffe zu verhindern.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Olympia Corp.: Microsoft schließt Windows-Insider-Programm für Enterprise-Funktionen

Das Programm existiert seit 2017. Es richtet sich an Nutzer, die neue Funktionen für Windows…

19 Stunden ago

Silicon DE im Fokus Podcast ERP Besser mit Branchenfokus

Im Podcast mit Carolina Heyder erörtert Michael Kempf, Vorstandsvorsitzender der MKS Software AG, wie ein…

20 Stunden ago

Zero Day Initiative verkürzt Fristen zur Offenlegung von Schwachstellen

Sie schrumpfen unter Umständen von 120 auf 30 Tage. Die neuen Fristen gelten aber nur…

21 Stunden ago

Dev Box: Microsoft testet cloudbasierte Entwickler-Workstation

Ab sofort steht eine öffentliche Vorabversion zur Verfügung. Die Dev Box basiert auf Azure Virtual…

2 Tagen ago

AWS, Azure und Google Cloud: Wachstum der größten Cloud-Anbieter schwächelt

Vor allem das Wachstum bei Infrastructure-as-a-Service (IaaS) verlangsamt sich. Nachfrage nach Managed Services nach wie…

2 Tagen ago

Transparentere Lieferketten und Lieferprognosen in Echtzeit

Textilhersteller Delta Galil setzt auf die Supply-Chain-Plattform Infor Nexus

2 Tagen ago