Bitdefender alerta del resurgimiento del grupo ciberdelincuente FIN8 tras un periodo de inactividad de un año y medio. Según advierte la compañía de ciberseguridad, ha vuelto a la carga con la intención de atacar de forma activa a las organizaciones a través de su herramienta de puerta trasera Badhatch.
De acuerdo a la organización sin ánimo de lucro norteamericana MITRE, el objetivo de los ataques de FIN8 es el rendimiento económico. Asimismo, Bitdefender señala que este grupo es conocido por el lanzamiento de campañas personalizadas de 'spear phishing' que buscan hacerse con los datos de las tarjetas de crédito de, fundamentalmente, empresas y directivos de los sectores Retail, Hostelería y Restauración.
"Consideramos que el desarrollo de una herramienta de puerta trasera tan avanzada como Badhatch, así como el uso de una gran variedad de técnicas de evasión de defensas, convierten a FIN8 en un grupo con capacidad para llevar a cabo operaciones de ciberdelincuencia altamente sofisticadas", indica la firma de ciberseguridad.
Los avances más relevantes de FIN8
Bitdefender también ha explicado que en su unidad de investigación ha detectado la existencia de tres versiones distintas de Badhatch durante el último año, "lo que hace pensar que esta herramienta ha estado siendo actualizada durante este periodo de tiempo". Entre los avances más significativos la compañía destaca los siguientes:
- Mejora en sus capacidades de malware al implementar funciones como captura de pantalla, tunelización proxy y ejecución sin archivos, entre otras.
- Uso del servicio sslip.io para el cifrado TLS, lo que complica la interceptación y detección de scripts de PowerShell.
"Los grupos de ciberamenazas avanzados, como FIN8, tienen capacidad para superar a las soluciones de detección. Como consecuencia, los Servicios Gestionados de Detección y Respuesta están ganando terreno entre organizaciones de todos los sectores", subraya Bitdefender. Además, ante las amenazas de este tipo, insta a las organizaciones a estar alerta y a buscar indicadores de compromiso (IOC) conocidos.
"Es muy probable que una solución antivirus clásica pueda detener algunas fases del ataque si en su línea de comandos incluye tecnologías de detección del comportamiento", ha afirmado Liviu Arsene, Analista Senior de Ciberseguridad de Bitdefender. "Sin embargo, el uso de una solución de Detección y Respuesta del Endpoint aumenta la probabilidad de bloquear el ataque, al ser capaz de enviar una alarma en caso de detección".