Symantec alerte sur le loader Bumblebee

En mars 2022, le TAG de Google publie la première analyse d’un nouveau loader, Bumblebee, utilisé notamment pour des attaques par rançongiciel. Sekoia l’a également étudié, pointant une évolution des techniques employées dans ses versions successives, laissant supposer que le loader est encore en développement.

En cette fin juin 2022, Symantec publie une analyse détaillée de Bumblebee et de son utilisation dans des attaques de Conti, Mountlocker ou Quantum. Les chercheurs estiment ainsi que Bumblebee tend à remplacer des loaders plus anciens comme Trickbot ou BazarLoader dans les attaques par rançongiciel.

« Les liens de Bumblebee avec un certain nombre d’opérations de ransomware très médiatisées suggèrent qu’il est désormais à l’épicentre de l’écosystème de la cybercriminalité », a ainsi déclaré Vishal Kamble, chef-ingénieur en analyse des menaces du Threat Hunter de Symantec.

La société de cybersécurité détaille en particulier une attaque récente impliquant le rançongiciel Quantum. Elle débute par un e-mail de phishing contenant un fichier ISO cachant Bumblebee (mais le loader peut être installé sur une machine par d’autres techniques de phishing, par exemple après un vol d’identifiants).

Bumblebee fournit alors aux attaquants une porte dérobée sur le PC, qui leur permet d’exécuter Cobalt Strike, pour prendre le contrôle de la machine. Bumblebee dépose ensuite la charge utile du rançongiciel Quantum, qui lui permet de chiffrer les fichiers de la machine.

« Toute organisation qui découvre une infection par Bumblebee sur son réseau doit traiter cet incident en priorité, car il peut être le point de départ de plusieurs menaces de ransomware dangereuses », alerte en conclusion Vishal Kamble.