La banda de ciberdelincuentes, FIN8, vuelve a abrir las puertas de las organizaciones estadounidenses, con el nuevo malware Sardonic

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Una banda de ciberdelincuentes con motivaciones financieras ha penetrado en la red de una organización financiera estadounidense con un nuevo malware conocido como Sardonic por los investigadores de Bitdefender que lo detectaron por primera vez.

FIN8, el actor de la amenaza que está detrás de este incidente, ha estado activo desde al menos enero de 2016 y es conocido por dirigirse a los sectores de la venta al por menor, la restauración, la hostelería, la sanidad y el entretenimiento con el objetivo final de robar los datos de las tarjetas de pago de los sistemas de punto de venta.

El arsenal malicioso de este actor de la amenaza incluye una gran variedad de herramientas y tácticas, que van desde el malware de TPV (por ejemplo, BadHatch, PoSlurp/PunchTrack, PowerSniff/PunchBuggy/ShellTea) hasta los exploits de día cero de Windows y el spear-phishing.

Desde que FireEye los detectó por primera vez, FIN8 ha orquestado múltiples campañas a gran escala pero esporádicas que han afectado a cientos de organizaciones.

Sardonic es un nuevo backdoor basado en C++ que los actores de la amenaza FIN8 desplegaron en los sistemas de los objetivos probablemente a través de ingeniería social o spear-phishing, dos de los métodos de ataque favoritos del grupo.

Aunque el malware aún está en desarrollo, su funcionalidad incluye

-Recolección de información del sistema.
-Ejecución de comandos en los dispositivos comprometidos.
-Y un sistema de plugins diseñado para cargar y ejecutar otras cargas útiles de malware entregadas como DLL.

Durante su ataque contra el banco estadounidense, la puerta trasera se desplegó y ejecutó en los sistemas de las víctimas como parte de un proceso de tres etapas que utilizaba un script PowerShell, un cargador .NET y un shellcode descargador.

Como observaron los investigadores de Bitdefender, el script PowerShell se copiaba manualmente en los sistemas comprometidos, mientras que los cargadores se entregaban en los dispositivos comprometidos a través de un proceso automatizado.

Los operadores de FIN8 también intentaron varias veces instalar el backdoor Sardonic en los controladores de dominio de Windows para escalar privilegios y moverse lateralmente por la red de la organización.

“Bitdefender recomienda que las empresas de los sectores verticales objetivo (comercio minorista, hostelería, finanzas) comprueben si hay un compromiso potencial aplicando [los IoC] a su EDR, XDR y otras defensas de seguridad”.

Info – Ciberseguridad Latam