Bitdefender alerta del resurgimiento del grupo ciberdelincuente FIN8, que tras un periodo de inactividad de un año y medio, ha vuelto a la carga con la intención de atacar de forma activa a las organizaciones a través de su herramienta de puerta trasera Badhatch.

El grupo es conocido por el lanzamiento de campañas personalizadas de spear phishing que buscan hacerse con los datos de las tarjetas de crédito de, fundamentalmente, empresas y directivos de los sectores Retail, Hostelería y Restauración.

Bitdefender Labs considera que el desarrollo de una herramienta de puerta trasera tan avanzada como Badhatch, así como el uso de una gran variedad de técnicas de evasión de defensas, convierten a FIN8 en un grupo con capacidad para llevar a cabo operaciones de ciberdelincuencia altamente sofisticadas.

En su investigación, Bitdefender Labs ha detectado la existencia de tres versiones diferentes de Badhatch durante el último año, lo que hace pensar que esta herramienta ha estado siendo actualizada durante este periodo de tiempo. Entre los avances más significativos destacan:

• Mejora en sus capacidades de malware al implementar funciones como captura de pantalla, tunelización proxy y ejecución sin archivos, entre otras.
• Uso del serviciosslip.iopara el cifrado TLS, lo que complica la interceptación y detección de scripts de PowerShell.

Los grupos de ciberamenazas avanzados, como FIN8, tienen capacidad para superar a las soluciones de detección. Como consecuencia, los Servicios Gestionados de Detección y Respuesta están ganando terreno entre organizaciones de todos los sectores. Ante amenazas de este tipo, Bitdefender insta a las organizaciones a estar alerta y a buscar indicadores de compromiso (IOC) conocidos.

«Es muy probable que una solución antivirus clásica pueda detener algunas fases del ataque si en su línea de comandos incluye tecnologías de detección del comportamiento» afirma Liviu Arsene, Analista Senior de Ciberseguridad de Bitdefender. «Sin embargo, el uso de una solución de Detección y Respuesta del Endpoint aumenta la probabilidad de bloquear el ataque, al ser capaz de enviar una alarma en caso de detección», precisa.