Se descubrió que un cargador de malware recientemente descubierto llamado Bumblebee está conectado a varios grupos de ransomware prominentes y ha sido un componente clave de muchos ataques cibernéticos en la que grupos de amenazas como Conti , Quantum y Mountlocker, aparecen en este según los expertos.
Se tiene pensado que el cargador Bumblebee puede haber sido utilizado como reemplazo de Trickbot y BazarLoader, debido a la superposición en la actividad reciente que involucra a Bumblebee y ataques más antiguos vinculados a estos cargadores ya que las técnicas de implementación para Bumblebee son las mismas que para BazarLoader e IcedID, ambos vistos en el pasado implementando el ransomware Conti.
Además, cabe destacar que se han visto varios actores de amenazas que normalmente usaban BazaLoader en campañas de malware han hecho la transición a Bumblebee para eliminar el código shell y los marcos Cobalt Strike, Sliver y Meterpreter diseñados para la evaluación de seguridad del equipo rojo, al mismo tiempo, BazaLoader no figura en los datos de Proofpoint desde febrero.
Bumblebee trabaja de forma que la infección inicial se produce mediante el uso de un correo electrónico de spear-phishing , que tiene un archivo ISO adjunto. El archivo malicioso en cuestión esta equipado con un archivo DLL de Bumblebee y un archivo LNK, que luego carga el archivo de Bumblebee usando rundll32.exe.
El cargador de Bumblebee se pone en contacto con un servidor de comando y control y crea un archivo duplicado dentro de la carpeta %APPDATA% con un nombre aleatorio. Junto con esto, también se crea un archivo VBS dentro de la misma ubicación. Luego, el cargador organiza una tarea programada para ejecutar el archivo VBS cada 15 minutos para luego dejar caer una carga útil de Cobalt Strike.
Una vez completada esta tarea, Bumblebee descarga el ransomware Quantum, lo que permite al grupo de ransomware cifrar los archivos del sistema de destino. Una vez en el sistema, Quantum puede raspar el sistema en busca de información del usuario utilizando el Instrumental de administración de Windows.
Para las organizaciones que emplean herramientas de escritorio remoto, esto puede causar problemas importantes, ya que se ha relacionado con una serie de implementaciones de ransomware y propósitos de filtración de datos por lo que tomar medidas nunca esta de mas.
