El grupo de malware bancario FIN8 abre otra puerta trasera para un ataque dirigido con Sardonic. Los expertos de Bitdefender han descubierto componentes de puerta trasera en un ataque dirigido a una organización financiera de EE. UU. y los han denominado "Sardonic".
El grupo FIN8 continúa ampliando su arsenal de malware: como parte de una investigación forense, los expertos de Bitdefender Labs descubrieron un nuevo componente de puerta trasera en un ataque dirigido a una organización financiera de EE. UU. y lo llamaron "Sardonic": los artefactos forenses indican que los autores son avanzando con un proyecto más grande bajo este nombre que consiste en la nueva puerta trasera, el cargador y otras secuencias de comandos. La nueva puerta trasera abre numerosas funciones para los atacantes. Con su ayuda, los atacantes pueden implementar inmediatamente nuevo malware sobre la marcha sin tener que actualizar los componentes. Fue solo en marzo de este año que los expertos de Bitdefender Labs descubrieron otra puerta trasera FIN8 con BADHATCH.
FIN8 ha estado apuntando al sector bancario desde 2016
Las actividades de FIN2016 observadas desde enero de 8 lanzan principalmente ataques de "living-of-the-land" contra servicios financieros y sistemas de punto de venta (POS). Utilizan herramientas e interfaces integradas como PowerShell o WMI. Los piratas informáticos también abusan de servicios legítimos como sslip.io para disfrazar las actividades del malware.
Infección y modo de acción de Sardonic
El vector de infección original no se puede determinar con exactitud. Pero hay muchos indicios de que Sardonic, al igual que los otros ataques FIN2016 observados desde enero de 8, utiliza técnicas de ingeniería social y campañas de phishing para ingresar inicialmente a la web.
Tan pronto como Sardonic Loader implementa la puerta trasera, la herramienta garantiza su persistencia en la red de la víctima. Luego, el malware comienza a recopilar información sobre la red y el dominio (usuarios y controladores de dominio). Las DLL especialmente desarrolladas por los atacantes se pueden cargar y ejecutar mediante un sistema de complemento. Otros movimientos laterales sirven, entre otras cosas, para la escalada no autorizada de privilegios. La comunicación con el servidor de comando y control de los atacantes se realiza a través del puerto 443. Las funciones individuales difieren en el estilo de codificación y en el uso de la biblioteca estándar de C++. Estas son señales de que varias personas están involucradas en el desarrollo de Sardonic.
Se recomienda protección total
Para defenderse de tales ataques, las empresas necesitan una combinación integral de tecnologías de defensa con herramientas de prevención, detección y respuesta que controlen lo que sucede en la TI corporativa. Básicamente, las empresas deberían separar sus redes POS de las redes para empleados, socios e invitados. Email Security detecta archivos adjuntos sospechosos que forman parte de una campaña de phishing. Igualmente central es un SIEM o inteligencia de amenazas integrada en otras soluciones. Las pequeñas y medianas empresas que también son el objetivo de este tipo de ataques deben utilizar servicios gestionados de detección y respuesta. En última instancia, solo estos ofrecen una protección real y sostenible contra ataques como los lanzados por FIN8, que pueden funcionar en secreto durante varios meses después de la penetración. Puede encontrar más información sobre Sardonic en línea en Bitdefender.
Más en Bitdefender.com
Acerca de Bitdefender Bitdefender es líder mundial en soluciones de ciberseguridad y software antivirus, y protege más de 500 millones de sistemas en más de 150 países. Desde su fundación en 2001, las innovaciones de la compañía han brindado regularmente excelentes productos de seguridad y protección inteligente para dispositivos, redes y servicios en la nube para clientes privados y empresas. Como proveedor elegido, la tecnología de Bitdefender se encuentra en el 38 por ciento de las soluciones de seguridad implementadas en el mundo y cuenta con la confianza y el reconocimiento de profesionales de la industria, fabricantes y consumidores por igual. www.bitdefender.de