standardBitdefender Labs rende pubblica oggi una nuova ricerca sul gruppo criminale FIN8, ricomparso tra gli autori di minacce informatiche dopo un anno e mezzo di pausa con aggiornamenti significativi a Badhatch, la backdoor utilizzata per aggirare i sistemi informatici, classificata come malware.
Secondo MITRE, la Organizzazione No-Profit che gestisce i centri di ricerca e sviluppo del governo federale americano, FIN8 è un gruppo di criminali informatici con obiettivi finanziari, noto per le campagne di spear phishing su misura che prendono di mira il settore alberghiero e quelli della vendita al dettaglio e della ristorazione. Il Gruppo è noto per rubare i dati delle carte di credito. Inoltre, è in grado di perpetrare attacchi sofisticati grazie all’utilizzo di una backdoor molto avanzata e di diverse tecniche efficaci per eludere le misure di protezione.
Badhatch è una minaccia informatica che in passato ha infettato un grande numero di PC in tutto il mondo con il fine di realizzare profitti illeciti e di rubare dati personali alle vittime. Viola i PC attraverso un pacchetto con programmi freeware o shareware, clic su annunci sospetti, visite a siti Web infetti e l’apertura di allegati in email di spam. Badhatch ha un forte impatto negativo sulle prestazioni del computer, causando il blocco continuo della CPU ed è in grado di controllare tutte le attività che l’utente compie online.
Gruppi avanzati come FIN8 che hanno la capacità di eludere le soluzioni di rilevamento standard sono il motivo per cui i servizi Managed Detection&Response (MDR) e le soluzioni per contrastare le minacce stanno guadagnando sempre più terreno in tutti i settori. Bitdefender esorta le aziende a stare all’erta e a prestare attenzione ai segnali di violazione (IoC, Indicator of Compromise) noti. Le vittime preferite di questo Gruppo criminale sono state Italia, Stati Uniti, in Canada, in Sud Africa, Porto Rico, Panama
PROTEZIONE per gli utenti domestici
“Alcune fasi dell’attacco, probabilmente, possono essere fermate da una soluzione antivirus classica se ci sono tecnologie come il rilevamento del comportamento della linea di comando.” Dichiara Liviu Arsene, Senior Cybersecurity Analyst di Bitdefender, che prosegue: “L’uso di una soluzione Endpoint Detection and Response, tuttavia, aumenta la possibilità di bloccare l’attacco grazie alla possibilità di inviare un allarme in caso di rilevamento e di movimenti laterali verso obiettivi sensibili”.
PROTEZIONE per le aziende
Le misure a tutela dell’ambiente aziendale sono essenzialmente tre:
– Monitoraggio dei sistemi per gli IoC noti come la porta 3385 vincolata su localhost, oggetti specifici per la sottoscrizione di eventi WMI utilizzati per la persistenza
– Monitoraggio dei processi – l’identificazione dei processi svchost.exe che hanno la linea di comando “-k netsvcs” e powershell.exe come processo padre.
– Scansione periodica della memoria di sistema utilizzando la soluzione di sicurezza data la natura senza file dell’attacco.
La ricerca completa su FIN8 è disponibile qui, l’articolo sul Blog Bitdefender Labs qui.