FIN8, un gang de cybercriminels à motivation financière, a détourné le réseau d'une organisation financière américaine avec un nouveau malware baptisé Sardonic, déclare l'équipe de recherche de Bitdefender qui a repéré le malware en premier.
Le logiciel malveillant Sardonic est capable de collecter des informations et d'exécuter des commandes sur les appareils compromis.
Selon des rapports de cyber-renseignement, FIN8 est actif depuis janvier 2016 et est connu pour cibler les industries de l'hôtellerie, de la restauration, de la vente au détail et de la santé dans le but de voler les données de carte de crédit des systèmes de point de vente. Le gang a utilisé diverses tactiques, notamment des logiciels malveillants POS (par exemple, BadHatch, PowerSniff, ShellTea, etc.), le spear-phishing et des exploits sans délai.
Anatomie de l'attaque FIN8 et tactiques utilisées. (Bitdefender)
Logiciels malveillants sardoniques
FIN8 a utilisé un logiciel malveillant appelé Sardonic, une nouvelle porte dérobée basée sur C++ qui a été déployée sur le système d'une organisation financière américaine via le spear-phishing et l'ingénierie sociale. La porte dérobée est toujours en cours de développement et possède les fonctionnalités suivantes :
- Informations sur le système de récolte
- La capacité d'exécution de commandes sur des appareils compromis
- Ajoute un plug-in pour exécuter d'autres charges utiles de logiciels malveillants
Bogdan Botezatu, directeur de l'équipe de recherche sur les menaces de Bitdefender, a déclaré avoir vu FIN8 mener 2 attaques au cours des derniers mois, et a déclaré qu'il s'agissait d'une " activité inhabituellement élevée pour un acteur menaçant qui avait l'habitude de prendre de longues pauses entre les attaques". "
Selon l'équipe de recherche, Sardonic est une nouvelle version de BadHatch Backdoor, qui peut être automatiquement remaniée avec de nouvelles fonctionnalités sans avoir besoin de redéployer le malware.
Une enquête plus approfondie sur l'attaque contre les États-Unis a révélé que la porte dérobée avait été déployée sur le système des organisations cibles dans le cadre d'un processus en trois étapes utilisant le chargeur .NET, le script PowerShell et le shellcode du téléchargeur.
L'équipe de recherche de Bitdefender a également découvert que les scripts PowerShell étaient copiés manuellement sur les appareils compromis, tandis que le chargeur .NET était livré sur les appareils à l'aide d'un processus automatisé.
Bitdefender a également révélé que FIN8 avait tenté à plusieurs reprises de fournir la porte dérobée du malware Sardonic sur les contrôleurs Windows pour se déplacer sur le réseau de l'organisation.
Flux d'exécution de la porte dérobée du malware Sardonic (Bitdefender)
Les institutions financières averties comme cibles potentielles
Les institutions financières et les banques sont averties d'être en état d'alerte maximale et de vérifier régulièrement leurs réseaux pour rechercher des indicateurs FIN8 connus au cas où leurs systèmes seraient déjà compromis.
Selon Matt Sanders, directeur de la sécurité chez LogRythm, les derniers incidents font partie d'une séquence où les institutions financières sont ciblées par des criminels. Il dit:
"Les banques et autres entreprises du secteur des services financiers sont les principales cibles des cyberattaques avec la pléthore d'informations sensibles et de données financières contenues dans leurs fichiers, d'autant plus qu'une plus grande partie du monde est passée aux services bancaires en ligne pendant la pandémie."
Il a en outre souligné la vulnérabilité des banques en affirmant que les organisations et entreprises financières sont 300 fois plus susceptibles d'être ciblées par des cybercriminels que d'autres secteurs. L'une des principales menaces est constituée par les vecteurs d'attaque de logiciels malveillants.
Sanders a déclaré que les entreprises doivent être prudentes et adopter une «approche de la cybersécurité axée sur la sécurité pour résoudre les vulnérabilités. "
"Bitdefender recommande aux entreprises des secteurs verticaux ciblés (vente au détail, hôtellerie, finance) de vérifier les compromis potentiels en appliquant [les IoC] à leurs EDR, XDR et autres défenses de sécurité."
Bitdefender a également recommandé certaines mesures proactives comme suit :