El grupo ciberdelincuente FIN8 resurge con su herramienta de puerta trasera Badhatch

Recomendados:  Crowdstrike Falcon Complete, detección y respuesta gestionada Leer Threat Hunting Report 2020: así son las campañas de intrusiones hoy en día Leer

Tras un periodo de inactividad de un año y medio Bitdefender, el grupo ciberdelincuente FIN8, que, ha vuelto a la carga con la intención de atacar de forma activa a las organizaciones a través de su herramienta de puerta trasera Badhatch. Así lo alerta Bitdefender Labs, que considera que el desarrollo de una herramienta de puerta trasera tan avanzada, así como el uso de una gran variedad de técnicas de evasión de defensas, convierten a FIN8 en un grupo con capacidad para llevar a cabo operaciones de ciberdelincuencia altamente sofisticadas.

El objetivo de los ataques de FIN8 es el rendimiento económico. El grupo es conocido por el lanzamiento de campañas personalizadas de spear phishing que buscan hacerse con los datos de las tarjetas de crédito de, fundamentalmente, empresas y directivos de los sectores Retail, Hostelería y Restauración.

En su investigación, Bitdefender Labs ha detectado la existencia de tres versiones diferentes de Badhatch durante el último año, lo que hace pensar que esta herramienta ha estado siendo actualizada durante este periodo de tiempo. Entre los avances más significativos destacan la mejora en sus capacidades de malware al implementar funciones como captura de pantalla, tunelización proxy y ejecución sin archivos, entre otras; y el uso del servicio sslip.io para el cifrado TLS, lo que complica la interceptación y detección de scripts de PowerShell.

Los grupos de ciberamenazas avanzados, como FIN8, tienen capacidad para superar a las soluciones de detección. Como consecuencia, los Servicios Gestionados de Detección y Respuesta están ganando terreno entre organizaciones de todos los sectores. Ante amenazas de este tipo, Bitdefender insta a las organizaciones a estar alerta y a buscar indicadores de compromiso (IOC) conocidos.

"Es muy probable que una solución antivirus clásica pueda detener algunas fases del ataque si en su línea de comandos incluye tecnologías de detección del comportamiento" afirma Liviu Arsene, Analista Senior de Ciberseguridad de Bitdefender. "Sin embargo, el uso de una solución de Detección y Respuesta del Endpoint aumenta la probabilidad de bloquear el ataque, al ser capaz de enviar una alarma en caso de detección".