Fidye Yazılım Ekosisteminin Merkezinde Konumlanan Yeni Tehdit: Bumblebee

Güvenlik uzmanları tarafından Bumblebee olarak adlandırılan kötü amaçlı yazılımın, Conti, Mountlocker ve Quantum gibi fidye yazılım operasyonları ile bağlantılı olduğu düşünülüyor.

Bumblebee’nin yüksek seviyeli fidye yazılım operasyonlarında tespit edilmesi, kötü amaçlı yazılımın siber suç ekosisteminde önemli bir yere sahip olduğuna işaret ediyor. Quantum kalıntıları içeren yakın zamandaki saldırılardan bir tanesi, Bumblebee’nin nasıl kullanıldığına dair ipuçları sundu. Saldırı, oltalama girişimi ile başlıyor ve Bumblebee içeren bir ISO dosyası bulunduran e-posta hedefe gönderiliyor. Açılması halinde, Bumblebee bilgisayara yükleniyor.

Bumblebee, bir sonraki aşamada saldırganlara bilgisayar sistemine erişim sağlamaları için arka kapı sunuyor, nihayetinde kumanda ve kontrol yeteneği kazandırıyor. Ardından, güvenlik uzmanları tarafından kullanılmasının yanı sıra siber suçlular için de bir silah özelliği taşıyan Cobalt Strike çalıştırılıyor. Böylece sızılan sistemde daha güçlü bir kontrol sağlanıyor ve daha fazla bilgiye erişiliyor.

Bir sonraki aşamada, Bumblebee Quantum fidye yazılım taşıma yükünü indiriyor ve hedef bilgisayardaki dosyaları şifreliyor. Benzer sürecin Conti ve Mountlocker saldırılarında da kullanılıyor olması, oltalama sürecindeki eski kötü amaçlı yazılımın Bumblebee ile revize edildiğini düşündürüyor.

Son zamanlardaki fidye yazılım saldırılarının gerçekleştirilme aralıklarına bakıldığında, güvenlik uzmanları Bumblebee’nin arka kapı sunmak için geçmişte tercih edilen Trickbot ve BazarLoader’ın yerini aldığını tahmin ediyor. Fidye yazılım saldırılarında otalama yöntemi de öne çıkmaya devam ediyor. Her ne kadar kötü amaçlı yazılımlar oltamala e-postaları ile taşınsa da, oltalama siber suç örgütleri tarafından genelde bulut tabanlı uygulamalar ve hizmetlerden kişisel bilgiler, hesap bilgileri ve şifre çalmak için kullanılıyor.

Siber suçlular böylece bilgisayar ağları içinde yayılmakla kalmıyor, meşru bir hesap kullanarak tespit edilmelerini de fidye yazılım aktif hale gelene kadar neredeyse imkansız kılıyorlar.

Her ne kadar fidye yazılım çok ciddi bir sorun haline gelmiş olsa da, engellenmesi mümkün. İki adımlı doğrulama (2FA), siber suçluların sistemlere erişimi bloke ederken, güvenlik zafiyetlerine yönelik güncellemelerin de en kısa zamanda yapılması gerekiyor.

Güvenlik birimlerinin internet trafiğini sürekli kontrol etmeleri de şüpheli eylemlerin tespit edilmesini ve gerekli müdahalenin yapılmasını sağlamak adına kritik önem taşıyor. Güvenlik uzmanları, bilgisayar sistemlerinde Bumblebee tespit eden şirketlerin bu konuyu güvenlik önceliği yapmasını, aksi takdirde yıkıcı saldırılara maruz kalabileceklerini ifade ediyor.