Bumblebee-Malware öffnet Angreifern neue Hintertür zu PCs weltweit

Nadine Dressler, 03.07.2022 09:10 Uhr
Sicherheitsforscher warnen vor einer neuen Schlüsselkomponente bei Angriffen mit Erpressungs-Trojanern. Wer den "Bumblebee"-Loader in seinem Netzwerk aufspürt, sollte schnell handeln. Ansonsten lädt Bumblebee weitere Schadsoftware und richtet großen Schaden an. Das geht aus einem neuen Bericht der Sicherheitsforscher von Symantec hervor (via TechRepublic). Die Malware namens Bumblebee ist dabei nur ein Teil der Kette eines Cyberangriffs. Sie ist dabei im Grunde der wichtigste Teil, denn diese neu entdeckte Malware verschafft Angreifern den Zugang auf fremde Netzwerke.

Symantec beobachtete die neue Malware dabei im Einsatz mit bekannten Erpressungs-Trojanern wie Conti, Mountlocker und Quantum. "Die Verbindungen von Bumblebee zu einer Reihe hochkarätiger Ransomware-Operationen deuten darauf hin, dass es sich jetzt im Epizentrum des Ökosystems der Cyberkriminalität befindet", erklärte Vishal Kamble, aus dem Bedrohungs-Analyse-Team von Symantec.

Oft gehört - nie genutzt: Schutzmaßnahmen im Internet
Infografik Oft gehört - nie genutzt: Schutzmaßnahmen im Internet

Angriff startet mit Phishing-E-Mails

Ein kürzlich erfolgter Angriff mit dem Erpressungs-Trojaner Quantum zeigte, wie Bumblebee von Cyberkriminellen zur Verbreitung von Ransomware eingesetzt wird: Der Angriff beginnt mit einer Phishing-E-Mail, die eine ISO-Datei enthält, in der der Bumblebee-Loader versteckt ist. Sobald der Anhang einmal geöffnet wird, startet der Loader auf dem Computer des Opfers.

Bumblebee verschafft den Angreifern so eine Hintertür zum PC und ermöglicht es, schnell Kontrolle zu übernehmen und Befehle auszuführen. Die Angreifer sammeln Zugangsdaten, die dann bei der Durchführung ihres Angriffs von Nutzen sind.

Danach startet Bumblebee die Quantum-Ransomware, die die Dateien auf dem Rechner des Opfers verschlüsselt. Ähnliche Techniken wurden in den Kampagnen der Ransomware-Gruppen Conti und Mountlocker verwendet. Die Forscher glauben, dass Bumblebee den Platz der zuvor verwendeten Backdoors eingenommen hat.

Ersatz für deaktivierten Trickbot

"Bumblebee könnte als Ersatz-Loader für Trickbot und BazarLoader eingeführt worden sein, da es gewisse Überschneidungen zwischen den jüngsten Aktivitäten mit Bumblebee und älteren Angriffen gibt, die mit diesen Loadern in Verbindung stehen", so Kamble. "Jedes Unternehmen, das eine Bumblebee-Infektion in seinem Netzwerk entdeckt, sollte diesen Vorfall mit hoher Priorität behandeln, da er der Weg zu mehreren gefährlichen Ransomware-Bedrohungen sein könnte", warnt Kamble.

Obwohl Ransomware nach wie vor ein großes Problem für die Cybersicherheit darstellt, gibt es Maßnahmen, die zur Verhinderung von Angriffen beitragen können. Dazu gehören die Verwendung einer Multi-Faktor-Authentifizierung für alle Konten, um zu verhindern, dass sich Angreifer Zugang zu Netzwerken verschaffen, sowie die rasche Anwendung von Sicherheits-Patches, um zu verhindern, dass Cyberkriminelle bekannte Schwachstellen ausnutzen.

Siehe auch:
Kommentare lesen & antworten
Folge WinFuture auf Google News
Desktop-Version anzeigen
Hoch © 2022 WinFuture Impressum Datenschutz Cookies