Bumblebee: El malware que acecha en la oscuridad cibernética

Recientemente se ha descubierto un cargador de malware llamado Bumblebee que está conectado a varios grupos prominentes de ransomware y ha sido un componente clave en muchos ciberataques. Nuevos hallazgos del equipo Symantec Threat Hunter, un equipo de Broadcom Software, descubrieron que esta herramienta está vinculada a grupos de amenazas como Conti, Quantum y Mountlocker, según una entrada en el blog del equipo.

Según el equipo de Symantec Threat Hunter, es posible que el cargador Bumblebee haya sido utilizado como reemplazo de Trickbot y BazarLoader, debido a las similitudes en la actividad reciente que involucra a Bumblebee y ataques anteriores vinculados a estos cargadores.

"[Bumblebee] parece haber reemplazado varios cargadores antiguos, lo que sugiere que es obra de actores establecidos y que la transición a Bumblebee fue planificada de antemano”, escribió el equipo en su publicación de blog.

Índice de Contenido
  1. Cómo funciona el cargador Bumblebee
  2. La conexión de Bumblebee con ataques anteriores

Cómo funciona el cargador Bumblebee

Un ataque en particular identificado por el equipo, relacionado con el ransomware Quantum, detalla cómo se utiliza el cargador Bumblebee. La infección inicial se produjo a través de un correo electrónico de spear-phishing que incluía un archivo ISO adjunto. El archivo malicioso en cuestión estaba equipado con un archivo DLL de Bumblebee y un archivo LNK, que luego cargaba el archivo Bumblebee utilizando rundll32.exe.

Según el equipo, se supone que el cargador Bumblebee se comunicaba con un servidor de mando y control y creaba un archivo duplicado dentro de la carpeta %APPDATA% con un nombre aleatorio. Además, también se creaba un archivo VBS en la misma ubicación. Luego, el cargador programaba una tarea para ejecutar el archivo VBS cada 15 minutos. Pasadas unas horas, el cargador instalaba una carga útil Cobalt Strike. Esta acción llevaba a dos puntos adicionales: por un lado, el DLL de Metasploit se inyectaba en un proceso legítimo de Windows; por otro lado, se utilizaba una herramienta llamada AdFind para recopilar información del sistema, como usuarios de dominio y permisos de grupo del sistema.

Una vez completada esta tarea, Bumblebee cargaba el ransomware Quantum, permitiendo así al grupo de ransomware cifrar archivos del sistema objetivo. Una vez dentro del sistema, Quantum podía recopilar información del sistema utilizando Windows Management Instrumentation. La carga útil del ransomware también desactivaba cualquier proceso relacionado con la identificación de malware.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

La conexión de Bumblebee con ataques anteriores

Debido al uso de las herramientas mencionadas anteriormente, el equipo de Threat Hunter cree que existe una conexión entre este nuevo cargador y los utilizados anteriormente por grupos de ciberdelincuentes. Un ejemplo de esta vinculación se encuentra en el uso de AdFind, una herramienta de consulta de Active Directory disponible públicamente y que ha sido utilizada por otros adversarios en el pasado. El uso de un archivo ISO con la intención de infectar un sistema también ha sido el punto de infección inicial en ataques anteriores, que se remontan hasta junio de 2021 y fueron llevados a cabo por los grupos de amenazas Ryuk y Conti.

Otro vínculo se establece a través del uso de un archivo por lotes conocido como adf.bat. Este archivo por lotes ha sido relacionado con ciberataques desde noviembre de 2021, al igual que el uso de la herramienta AdFind en dichos ataques. En ese caso, se determinó que el cargador era BazarLoader.

El equipo de Threat Hunter de Symantec también descubrió el uso de herramientas de software legítimas en muchos de los ataques que investigaron. Para las organizaciones que utilizan herramientas de acceso remoto, esto puede causar problemas graves, ya que estas herramientas se han relacionado con múltiples despliegues de ransomware y exfiltración de datos. El equipo de Symantec recomienda a los usuarios y empresas estar en alerta y preparados para este nuevo cargador de malware y las capacidades que posee.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Bumblebee: El malware que acecha en la oscuridad cibernética , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.