Το FIN8 αναπτύσσει ransomware ALPHV χρησιμοποιώντας παραλλαγή Sardonic malware
Μια συμμορία εγκλήματος στον κυβερνοχώρο με οικονομικά κίνητρα έχει παρατηρηθεί να αναπτύσσει ωφέλιμα φορτία
ransomware
BlackCat σε δίκτυα με κερκόπορτα χρησιμοποιώντας μια ανανεωμένη έκδοση κακόβουλου λογισμικού Sardonic.
Παρακολούθηση ως FIN8 (γνωστός και ως Syssphinx), αυτός ο παράγοντας απειλών δραστηριοποιείται ενεργά τουλάχιστον από τον Ιανουάριο του 2016, εστιάζοντας στη στόχευση βιομηχανιών όπως το λιανικό εμπόριο, τα εστιατόρια, η φιλοξενία, η υγειονομική περίθαλψη και η ψυχαγωγία.
Από τότε που εντοπίστηκαν για πρώτη φορά και επισημάνθηκαν ως ομάδα απειλών από το FireEye, το FIN8 έχει συνδεθεί με πολλές εκστρατείες μεγάλης κλίμακας που χαρακτηρίζονται από τον σποραδικό χαρακτήρα τους. Ωστόσο, οι επιθέσεις τους έχουν επηρεάσει πολλούς οργανισμούς,
αφήνοντας ένα αποτύπωμα εκατοντάδων θυμάτων
στο πέρασμά τους.
Το οπλοστάσιο που χρησιμοποιείται από αυτόν τον παράγοντα απειλών είναι εκτεταμένο, περιλαμβάνοντας ένα ευρύ φάσμα εργαλείων και τακτικών, συμπεριλαμβανομένων των ποικιλιών κακόβουλου λογισμικού POS όπως
BadHatch
,
PoSlurp/PunchTrack
και
PowerSniff/PunchBuggy/ShellTea
καθώς
την εκμετάλλευση των τρωτών σημείων zero-day των Windows
και
εκστρατείες spear-phishing
.
Έχουν επίσης αλλάξει από το BadHatch σε ένα backdoor που βασίζεται σε C++, γνωστό ως Sardonic, το οποίο, σύμφωνα με τους ερευνητές ασφαλείας του Bitdefender που το ανακάλυψαν το 2021, μπορεί να συλλέγει πληροφορίες, να εκτελεί εντολές και να αναπτύσσει επιπλέον κακόβουλες μονάδες ως πρόσθετα DLL.
Η ομάδα Threat Hunter της Symantec παρατήρησε μια ανανεωμένη έκδοση αυτού του backdoor που αναπτύχθηκε στις επιθέσεις του Δεκεμβρίου 2022, μια παραλλαγή που μοιράζεται τη λειτουργικότητα με την έκδοση που ανακαλύφθηκε από το Bitdefender.
“Ωστόσο, το μεγαλύτερο μέρος του κώδικα του backdoor έχει ξαναγραφτεί, έτσι ώστε να αποκτά νέα εμφάνιση. Είναι ενδιαφέρον ότι ο κώδικας της κερκόπορτας δεν χρησιμοποιεί πλέον την τυπική βιβλιοθήκη C++ και οι περισσότερες από τις αντικειμενοστρεφείς λειτουργίες έχουν αντικατασταθεί με μια απλή υλοποίηση C.”
είπε η Symantec
.
“Επιπλέον, ορισμένες από τις ανακατασκευές φαίνονται αφύσικές, υποδηλώνοντας ότι ο πρωταρχικός στόχος των παραγόντων απειλής θα μπορούσε να είναι η αποφυγή ομοιοτήτων με λεπτομέρειες που είχαν αποκαλυφθεί προηγουμένως. Αυτός ο στόχος φαινόταν περιορισμένος μόνο στην ίδια την κερκόπορτα, καθώς χρησιμοποιούνται ακόμη γνωστές τεχνικές Syssphinx.”
Μεγιστοποίηση κερδών μέσω ransomware
Ενώ ο τελικός στόχος των επιθέσεων τους περιστρέφεται γύρω από την κλοπή δεδομένων καρτών πληρωμής από συστήματα Point-of-Sale (POS), το FIN8 έχει επεκταθεί από το σημείο πώλησης σε επιθέσεις ransomware για να μεγιστοποιήσει τα κέρδη.
Για παράδειγμα, σύμφωνα με τη Symantec, η συμμορία εθεάθη, για πρώτη φορά, τον Ιούνιο του 2021 να αναπτύσσει ransomware (ωφέλιμα φορτία Ragnar Locker) σε παραβιασμένα συστήματα μιας εταιρείας χρηματοοικονομικών υπηρεσιών στις Ηνωμένες Πολιτείες.
Έξι μήνες αργότερα, τον Ιανουάριο του 2022, το ransomware White Rabbit συνδέθηκε επίσης με το FIN8 αφού οι ερευνητές ανακάλυψαν συνδέσμους με την υποδομή της συμμορίας κατά την ανάλυση του σταδίου ανάπτυξης του ransomware. Επιπλέον, το Sardonic backdoor χρησιμοποιήθηκε επίσης κατά τις επιθέσεις ransomware White Rabbit, συνδέοντάς τα περαιτέρω με το FIN8.
Σε μια πιο πρόσφατη εξέλιξη, η Symantec εντόπισε επίσης χάκερ FIN8 που ανέπτυξαν ransomware BlackCat (γνωστός και ως ALPHV) στις επιθέσεις του Δεκεμβρίου 2022 όπου χρησιμοποιήθηκε η νέα παραλλαγή
malware
Sardonic.
«Το Syssphinx συνεχίζει να αναπτύσσει και να βελτιώνει τις δυνατότητές του και την υποδομή παράδοσης κακόβουλου λογισμικού, βελτιώνοντας περιοδικά τα εργαλεία και τις τακτικές του για να αποφύγει τον εντοπισμό», δήλωσε η Symantec.
«Η απόφαση του ομίλου να επεκταθεί από τις επιθέσεις στο σημείο πώλησης στην ανάπτυξη ransomware καταδεικνύει την αφοσίωση των παραγόντων της απειλής στη μεγιστοποίηση των κερδών από τις οργανώσεις των θυμάτων».
