Le groupe cybercriminel FIN8 améliore ses tactiques d'escalade de privilèges

Picus Security rapporte que le groupe cybercriminel FIN8, motivé par des objectifs financiers, a intensifié ses campagnes en se concentrant sur l'escalade avancée des privilèges. Actif depuis au moins 2016, FIN8 est connu pour sa discrétion et sa capacité d'adaptation, employant un arsenal de malwares en constante évolution.

Les campagnes récentes observées par Picus Security montrent FIN8 intégrant des outils tels que Sardonic (également connu sous le nom de Ragnar Loader) et Exocet. Ces outils sont utilisés pour élever les privilèges, contourner les défenses et maintenir un accès prolongé aux systèmes cibles, souvent en préparation du déploiement de ransomwares tels que BlackCat/ALPHV et White Rabbit.

Les tactiques du groupe mettent l'accent sur la subtilité. FIN8 utilise couramment PowerShell, WMI et les outils natifs de Windows pour la reconnaissance et l'établissement de la persistance. Plutôt que de déposer des fichiers détectables, ils exécutent du code directement en mémoire et utilisent des souscriptions d'événements WMI pour des opérations discrètes. Ces méthodes sans fichier et évasives rendent leur détection difficile pour les solutions de sécurité traditionnelles basées sur les signatures.

L'analyse de Picus Security indique que la chaîne d'attaque de FIN8 implique généralement la reconnaissance, la collecte d'identifiants, et culmine dans le déploiement de ransomwares. Un facteur clé de leur succès est leur capacité d'adaptation ; par exemple, le malware Sardonic a été réécrit pour améliorer l'évasion. Ce perfectionnement continu fait de FIN8 une menace significative pour les organisations du monde entier. Picus Security conseille aux organisations de surveiller les activités de FIN8 et de tester continuellement leurs défenses pour garder une longueur d'avance sur les tactiques et techniques évolutives du groupe.