Kyberrikollisryhmä FIN8 kehittää edistyneempiä hyökkäystaktiikoita

Kyberturvallisuusyritys Picus Security on havainnut, että FIN8-niminen, taloudellisesti motivoitunut kyberrikollisryhmä on kehittänyt kampanjoitaan edistyneemmän oikeuksien laajennuksen saavuttamiseksi. FIN8, joka on ollut aktiivinen vuodesta 2016, on tunnettu kyvystään pysytellä piilossa ja mukautua nopeasti, käyttäen yhä monipuolisempaa haittaohjelmavarastoa.

Yhtiön analyysin mukaan FIN8 on viimeaikaisissa hyökkäyksissään integroidut työkalut, kuten Sardonic (tunnetaan myös nimellä Ragnar Loader) ja Exocet. Näiden työkalujen avulla ryhmä pyrkii laajentamaan käyttöoikeuksiaan järjestelmissä, väistämään puolustusmekanismeja ja säilyttämään pääsyn kohteisiin pitkäaikaisesti. Tavoitteena on usein kiristyshaittaohjelmien, kuten BlackCat/ALPHV ja White Rabbit, käyttöönotto.

FIN8:n taktiikat korostavat tarkoituksellista hienovaraisuutta. Ryhmä hyödyntää yleisesti PowerShellia, WMI:tä ja Windowsin sisäänrakennettuja työkaluja tiedusteluun ja pysyvyyden luomiseen. Sen sijaan, että se jättäisi jälkeensä selkeitä haittaohjelmatiedostoja, FIN8 suorittaa koodia suoraan muistiin ja käyttää WMI-tapahtumatilauksia piilossa pysymiseen. Nämä tekniikat tekevät ryhmän toiminnan havaitsemisesta vaikeaa perinteisille, allekirjoitusperusteisille tietoturvajärjestelmille.

Picus Securityn mukaan FIN8:n hyökkäysketju alkaa tyypillisesti tiedustelulla, etenee tunnistetietojen keräämiseen ja päättyy kiristysohjelmien käyttöönottoon. Ryhmän kyky oppia ja mukautua on keskeistä sen menestykselle. Esimerkiksi Sardonic-haittaohjelmisto on kirjoitettu uudelleen välttääkseen havaitsemista entistä paremmin. Tämä jatkuva kehitys tekee FIN8:sta merkittävän uhan yrityksille maailmanlaajuisesti. Picus Security suosittelee organisaatioita seuraamaan FIN8:n toimintaa ja testaamaan puolustusmekanismejaan jatkuvasti, jotta ne pysyvät ajan tasalla ryhmän kehittyvistä taktiikoista ja tekniikoista.