Bitdefenders säkerhetsexperter har nyligen upptäckt en ny och unik bakdörr som används av hackergruppen FIN8.
Upptäckten gjordes vid en genomgång av en cyberattack på en amerikansk bank under sommaren.
Hackergruppen FIN8 har varit aktiv sedan 2016 och är känd för att ge sig på detaljhandelsföretag, hotell- och restaurangbranschen samt underhållningsindustrin i syfte att stjäla kreditkortsinformation. I somras gick de till attack mot en amerikansk bank. Attacken stoppades lyckligtvis men i spåren fann Bitdefenders säkerhetsexperter en ny bakdörr.
Bakdörren, som kallas “Sardonic”, är unik i den meningen att den använder en plugin-arkitektur som gör att FIN8 kan lägga till nya attackfunktioner utan att skadlig programvara behöver uppdateras fullständigt. Dessutom kan Sardonic samla in information om systemet som attacken riktar sig mot, samt utföra fjärrstyrda kommandon.
En avancerad bakdörr som Sardonic kan användas av hackergruppen för att utföra sofistikerade attacker efter att de först har fått tillgång till offrets system genom till exempel en så kallad spear phishing-attack, där en anställd luras till att ge hackare inloggningsinformation till företagets nätverk.
När hackarna har fått åtkomst sätter de in bakdörren, som de själva kontrollerar, för att komma in i offrets system. På så sätt kan de upprätthålla sina attacker utan att vara beroende av den ursprungliga vägen in. Genom bakdörren får de kontroll över offrets system och kan röra sig över nätverket på jakt efter den finansiella information som de tänker stjäla.
Sardonic är fortfarande under utveckling. Experter förväntar sig därför att bakdörren kommer att ha fler funktioner i framtiden.
Så kan du skydda dig mot hackerattacker
Bitdefenders säkerhetsexperter har ett antal tips om vad företag kan göra för att bättre skydda sig mot hackare som FIN8:
– Separera Point of Sale-nätverket från de nätverk som används av anställda och gäster.
– Utbilda anställda att ägna mer uppmärksamhet åt cybersäkerhet, vilket kan hjälpa dem att upptäcka phishingförsök via e-postmeddelanden. Ställ in säkerhetslösningen för inkorgen för e-post för att automatiskt kassera farliga eller misstänkta bilagor.
– Integrera hotinformation som en del av befintliga SIEM (Security Information and Event Management) eller säkerhetskontroller för att få relevanta indicators of compromise (IOC).
– Små och medelstora organisationer som inte har ett särskilt IT-säkerhetsteam bör överväga att låta professionella MDR-leverantörer (Managed Detection and Response) sköta uppgiften.
