Bitdefender Labs rende pubblica oggi una nuova ricerca sul gruppo criminale FIN8, ricomparso tra gli autori di minacce informatiche dopo un anno e mezzo di pausa con aggiornamenti significativi a Badhatch, la backdoor utilizzata per aggirare i sistemi informatici, classificata come malware.
In particolare, Bitdefender ha rintracciato nuove varianti di Badhatch, scoperta per la prima volta nel 2019. Le nuove varianti sono più difficili da rilevare e sono dotate di funzionalità aggiornate tra cui la cattura dello schermo, il tunneling proxy, l’esecuzione senza file, l’utilizzo del servizio sslip.io per la crittografia TLS e l’intercettazione; inoltre, il rilevamento degli script powershell è diventato più difficile.
Secondo MITRE1 – FIN8 è un gruppo di criminali informatici con obiettivi finanziari, noto per le campagne di spear phishing su misura che prendono di mira il settore alberghiero e quelli della vendita al dettaglio e della ristorazione. Il Gruppo è noto per rubare i dati delle carte di credito. Inoltre, è in grado di perpetrare attacchi sofisticati grazie all’utilizzo di una backdoor molto avanzata e di diverse tecniche efficaci per eludere le misure di protezione.
Badhatch è una minaccia informatica che in passato ha infettato un grande numero di PC in tutto il mondo con il fine di realizzare profitti illeciti e di rubare dati personali alle vittime. Viola i PC attraverso un pacchetto con programmi freeware o shareware, clic su annunci sospetti, visite a siti Web infetti e l’apertura di allegati in email di spam. Badhatch ha un forte impatto negativo sulle prestazioni del computer, causando il blocco continuo della CPU ed è in grado di controllare tutte le attività che l’utente compie online.
Gruppi avanzati come FIN8 che hanno la capacità di eludere le soluzioni di rilevamento sono il motivo per cui i servizi Managed Detection&Response e le soluzioni per contrastare le minacce stanno guadagnando sempre più terreno in tutti i settori. Bitdefender esorta le aziende a stare all’erta e a prestare attenzione ai segnali di violazione (IoC, Indicator of Compromise) noti. Le vittime preferite di questo Gruppo criminale sono state Italia, Stati Uniti, in Canada, in Sud Africa, Porto Rico, Panama.
Misure di protezione per gli utenti domestici
“Alcune fasi dell’attacco, probabilmente, possono essere fermate da una soluzione antivirus classica se ci sono tecnologie come il rilevamento del comportamento della linea di comando.” Dichiara Liviu Arsene, Senior Cybersecurity Analyst di Bitdefender, che prosegue: “L’uso di una soluzione Endpoint Detection and Response, tuttavia, aumenta la possibilità di bloccare l’attacco grazie alla possibilità di inviare un allarme in caso di rilevamento e di movimenti laterali verso obiettivi sensibili”.
Misure di protezione per le aziende
Le misure a tutela dell’ambiente aziendale sono essenzialmente tre:
- Monitoraggio dei sistemi per gli IoC noti come la porta 3385 vincolata su localhost, oggetti specifici per la sottoscrizione di eventi WMI utilizzati per la persistenza
- Monitoraggio dei processi – l’identificazione dei processi svchost.exe che hanno la linea di comando “-k netsvcs” e powershell.exe come processo padre.
- Scansione periodica della memoria di sistema utilizzando la soluzione di sicurezza data la natura senza file dell’attacco.
