FIN8-Cyberkriminelle verbessern Taktiken zur Privilegienerweiterung

Picus Security berichtet, dass die finanziell motivierte kriminelle Gruppe FIN8 ihre Kampagnen intensiviert und sich auf fortschrittliche Privilegienerweiterung konzentriert. FIN8 ist seit mindestens 2016 aktiv und bekannt für seine Heimlichkeit und Anpassungsfähigkeit, wobei es ein sich ständig weiterentwickelndes Arsenal an Malware einsetzt.

Aktuelle Kampagnen, die von Picus Security beobachtet wurden, zeigen, dass FIN8 Werkzeuge wie Sardonic (auch bekannt als Ragnar Loader) und Exocet integriert. Diese Werkzeuge werden eingesetzt, um Berechtigungen zu erhöhen, Abwehrmaßnahmen zu umgehen und den langfristigen Zugriff auf Zielsysteme aufrechtzuerhalten, oft in Vorbereitung auf den Einsatz von Ransomware wie BlackCat/ALPHV und White Rabbit.

Die Taktiken der Gruppe betonen Subtilität. FIN8 nutzt häufig PowerShell, WMI und native Windows-Tools für Erkundung und zur Etablierung von Persistenz. Anstatt spürbare Dateien abzulegen, führen sie Code direkt im Speicher aus und setzen WMI-Ereignisabonnements für unauffällige Operationen ein. Diese dateilosen und evasiven Methoden erschweren die Erkennung durch traditionelle signaturbasierte Sicherheitslösungen.

Picus Securitys Analyse deutet darauf hin, dass die Angriffskette von FIN8 typischerweise Aufklärung, das Sammeln von Anmeldeinformationen und gipfelt in der Bereitstellung von Ransomware umfasst. Ein Schlüsselfaktor für ihren Erfolg ist ihre Fähigkeit zur Anpassung; so wurde die Sardonic-Malware umgeschrieben, um die Abwehr zu verbessern. Diese kontinuierliche Verfeinerung macht FIN8 zu einer erheblichen Bedrohung für Organisationen weltweit. Picus Security rät Organisationen, die Aktivitäten von FIN8 zu überwachen und ihre Abwehrmaßnahmen kontinuierlich zu testen, um den sich entwickelnden Taktiken und Techniken der Gruppe einen Schritt voraus zu sein.