A FIN8, uma gangue de crimes cibernéticos com motivação financeira, fez backdoor na rede de uma organização financeira dos EUA com um novo malware chamado Sardonic, diz a equipe de pesquisa da Bitdefender que detectou o malware primeiro.
O malware sardônico é capaz de coletar informações e executar comandos nos dispositivos comprometidos.
De acordo com relatórios de inteligência cibernética, o FIN8 está ativo desde janeiro de 2016, conhecido por segmentar os setores de hospitalidade, restaurantes, varejo e saúde com o objetivo de roubar dados de cartão de crédito de sistemas POS. A gangue tem usado várias táticas, incluindo malware POS (por exemplo, BadHatch, PowerSniff, ShellTea e mais), spear phishing e explorações de atraso zero.
Anatomia de ataque do FIN8 e táticas usadas. (Bitdefender)
Malware Sardônico
O FIN8 usou um malware chamado Sardonic, um novo backdoor baseado em C++ que foi implantado no sistema de uma organização financeira dos EUA por meio de spear phishing e engenharia social. O backdoor ainda está em desenvolvimento e possui as seguintes funcionalidades:
- Informações do sistema de colheita
- A capacidade de execução de comandos em dispositivos comprometidos
- Adiciona um plug-in para executar mais cargas úteis de malware
Bogdan Botezatu, diretor da equipe de pesquisa de ameaças da Bitdefender, disse que viu o FIN8 realizando 2 ataques nos últimos meses e disse que era uma ” atividade incomumente alta para um ator de ameaças que costumava fazer longas pausas entre os ataques. "
De acordo com a equipe de pesquisa, o Sardonic é uma nova versão do BadHatch Backdoor, que pode ser renovada automaticamente com novas funcionalidades sem a necessidade de reimplantação do malware.
Investigações adicionais sobre o ataque às costas dos EUA revelaram que o backdoor foi implantado no sistema das organizações-alvo como parte de um processo de três estágios usando o carregador .NET, o script PowerShell e o shellcode do downloader.
A equipe de pesquisa da Bitdefender também descobriu que os scripts do PowerShell foram copiados manualmente nos dispositivos comprometidos, enquanto o carregador .NET foi entregue nos dispositivos usando um processo automatizado.
A Bitdefender também revelou que o FIN8 tentou várias vezes entregar o backdoor do malware Sardonic nos controladores do Windows para se mover pela rede da organização.
Fluxo de execução de backdoor de malware Sardonic (Bitdefender)
Instituições financeiras alertadas como alvos potenciais
Instituições financeiras e bancos são avisados para estarem em alerta máximo e verificarem suas redes regularmente para procurar indicadores conhecidos do FIN8, caso seus sistemas já estejam comprometidos.
De acordo com Matt Sanders, diretor de segurança da LogRythm, os últimos incidentes fazem parte de uma sequência em que as instituições financeiras são alvo de criminosos. Ele diz:
“Bancos e outras empresas do setor de serviços financeiros são os principais alvos de ataques cibernéticos com a infinidade de informações confidenciais e dados financeiros contidos em seus arquivos, especialmente à medida que mais pessoas do mundo migraram para o banco on-line durante a pandemia."
Ele enfatizou ainda a vulnerabilidade dos bancos, dizendo que as organizações e empresas financeiras têm 300 vezes mais chances de serem alvo de cibercriminosos em comparação com outros setores. Uma grande ameaça são os vetores de ataque de malware.
Sanders disse que as empresas precisam ser cautelosas e adotar uma ” abordagem de segurança em primeiro lugar à segurança cibernética para resolver vulnerabilidades. “
“A Bitdefender recomenda que as empresas em verticais de destino (varejo, hospitalidade, finanças) verifiquem possíveis comprometimentos aplicando [os IoCs] ao seu EDR, XDR e outras defesas de segurança.”
O Bitdefender também recomendou algumas medidas proativas como segue: