Proofpoint alerta sobre la aparición de Bumblebee, un sofisticado distribuidor de ransomware

El equipo de investigación de Proofpoint ha alertado sobre Bumblebee, un sofisticado cargador de malware en constante desarrollo que está siendo utilizado como facilitador de acceso inicial para entregar cargas útiles como el ransomware. Desde el mes de marzo de 2022, al menos tres conocidos grupos de cibercriminales están utilizando el nuevo malware en diversas campañas.

Bumblebee contiene comprobaciones de anti virtualización y cuenta con una implementación única de las capacidades comunes de los descargadores, a pesar de ser un malware todavía en una etapa temprana de su desarrollo. Los investigadores de la firma han observado que Bumblebee descargaba Cobalt Strike, shellcode, Sliver y Meterpreter.

Según la compañía, urge en el panorama de amenazas coincidiendo con la reciente desaparición de BazaLoader, una popular carga útil que facilita el seguimiento de los ataques, de los registros de actividad de amenazas de Proofpoint desde febrero de 2022. BazaLoader es un descargador de primera etapa que se identificó por primera vez en 2020 y que se ha asociado a campañas de ransomware de seguimiento, como Conti, y que inicialmente era distribuido en gran volumen por un actor de amenazas que era conocido principalmente por distribuir el troyano bancario Trick.

A su juicio de Proofpoint, la aparición Bumblebee en el panorama de las amenazas de crimeware y su aparente sustitución de BazaLoader demuestra “la flexibilidad de los ciberdelincuentes para cambiar rápidamente su forma de operar adoptando nuevo malware. “Además, el malware es bastante sofisticado y demuestra estar en continuo desarrollo, mostrando nuevos métodos para evadir la detección”, subraya Sherrod DeGrippo, vicepresidenta de Investigación y Detección de Amenazas de Proofpoint.

El uso de Bumblebee por parte de múltiples grupos cibercriminales, el momento de su introducción y sus comportamientos pueden considerarse un cambio notable en el panorama de las amenazas cibercriminales. La compañía estima los grupos que usan Bumblebee pueden ser considerados facilitadores de acceso inicial, que se infiltran en objetivos importantes y luego venden el acceso a autores de ransomware.