Un gang de cybercriminels à motivation financière a été observé en train de déployer des charges utiles de rançongiciel BlackCat sur des réseaux dérobés à l’aide d’une version remaniée du logiciel malveillant Sardonic.
Suivi sous le nom de FIN8 (alias Syssphinx), cet acteur menaçant opère activement depuis au moins janvier 2016, en ciblant des secteurs tels que la vente au détail, la restauration, l’hôtellerie, la santé et le divertissement.
Depuis qu’ils ont été repérés et étiquetés pour la première fois en tant que groupe de menaces par FireEye, FIN8 a été lié à de nombreuses campagnes à grande échelle caractérisées par leur nature sporadique. Cependant, leurs attaques ont touché de nombreuses organisations, laissant des centaines de victimes dans leur sillage.
L’arsenal employé par cet auteur de menaces est vaste et englobe un large éventail d’outils et de tactiques, y compris des souches de logiciels malveillants POS comme BadHatch, PoSlurp/PunchTrack et PowerSniff/PunchBuggy/ShellTea, ainsi que l’exploitation des vulnérabilités Windows zero-day et spear -campagnes de phishing.
Ils sont également passés de BadHatch à une porte dérobée basée sur C++ connue sous le nom de Sardonic, qui, selon les chercheurs en sécurité de Bitdefender qui l’ont découverte en 2021, peut collecter des informations, exécuter des commandes et déployer des modules malveillants supplémentaires en tant que plugins DLL.
L’équipe Threat Hunter de Symantec a observé une version remaniée de cette porte dérobée déployée lors des attaques de décembre 2022, une variante qui partage des fonctionnalités avec la version découverte par Bitdefender.
« Cependant, la plupart du code de la porte dérobée a été réécrit, de sorte qu’il gagne une nouvelle apparence. Il est intéressant de noter que le code de la porte dérobée n’utilise plus la bibliothèque standard C++ et la plupart des fonctionnalités orientées objet ont été remplacées par une implémentation en C simple. » dit Symantec.
« En outre, certaines des refontes ne semblent pas naturelles, ce qui suggère que l’objectif principal des acteurs de la menace pourrait être d’éviter les similitudes avec des détails précédemment divulgués. Cet objectif semblait limité à la porte dérobée elle-même, car les techniques Syssphinx connues étaient toujours utilisées. »
Maximiser les profits grâce aux rançongiciels
Alors que l’objectif final de leurs attaques tourne autour du vol de données de cartes de paiement à partir de systèmes de points de vente (POS), FIN8 est passé des attaques de point de vente aux attaques de ransomwares pour maximiser les profits.
Par exemple, selon Symantec, le gang a été vu pour la première fois en juin 2021 déployer un rançongiciel (charges utiles Ragnar Locker) sur les systèmes compromis d’une société de services financiers aux États-Unis.
Six mois plus tard, en janvier 2022, le ransomware White Rabbit était également lié à FIN8 après que les chercheurs ont découvert des liens vers l’infrastructure du gang lors de l’analyse de l’étape de déploiement du ransomware. De plus, la porte dérobée Sardonic a également été utilisée lors des attaques du rançongiciel White Rabbit, les reliant davantage à FIN8.
Dans un développement plus récent, Symantec a également repéré des pirates FIN8 déployant le ransomware BlackCat (alias ALPHV) lors des attaques de décembre 2022 où la nouvelle variante de malware Sardonic a été utilisée.
« Syssphinx continue de développer et d’améliorer ses capacités et son infrastructure de diffusion de logiciels malveillants, affinant périodiquement ses outils et ses tactiques pour éviter la détection », a déclaré Symantec.
« La décision du groupe de passer des attaques aux points de vente au déploiement de ransomwares démontre l’engagement des acteurs de la menace à maximiser les profits des organisations victimes. »