Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Grupo FIN8 que usa puerta trasera Sardonic modificada para ataques de BlackCat Ransomware
  • Tecnología

Grupo FIN8 que usa puerta trasera Sardonic modificada para ataques de BlackCat Ransomware

teknomers 18 de Temmuz de 2023 (Last updated: 18 de Temmuz de 2023) 3 minutes read
Grupo FIN8 que usa puerta trasera Sardonic modificada para ataques


18 de julio de 2023THNransomware/amenaza cibernética

Se ha observado que el actor de amenazas con motivación financiera conocido como FIN8 usa una versión “renovada” de una puerta trasera llamada Sardónico para entregar el ransomware BlackCat.

Según el Symantec Threat Hunter Team, parte de Broadcom, el desarrollo es un intento por parte del grupo de cibercrimen de diversificar su enfoque y maximizar las ganancias de las entidades infectadas. El intento de intrusión tuvo lugar en diciembre de 2022.

FIN8 está siendo rastreado por la compañía de ciberseguridad bajo el nombre de Syssphinx. Conocido por estar activo desde al menos 2016, el adversario se atribuyó originalmente a ataques dirigidos a sistemas de punto de venta (PoS) utilizando malware como PUNCHTRACK y BADHATCH.

El grupo resurgió después de más de un año en marzo de 2021 con una versión actualizada de BADHATCH, seguida de un implante personalizado completamente nuevo llamado Sardonic, que Bitdefender reveló en agosto de 2021.

“La puerta trasera Sardonic basada en C++ tiene la capacidad de recopilar información del sistema y ejecutar comandos, y tiene un sistema de complementos diseñado para cargar y ejecutar cargas útiles de malware adicionales entregadas como archivos DLL”, Symantec dicho en un informe compartido con The Hacker News.

A diferencia de la variante anterior, que fue diseñada en C++, los últimos paquetes de iteración presentan alteraciones significativas, con la mayor parte del código fuente reescrito en C y modificado para evitar similitudes deliberadamente.

En el incidente analizado por Symantec, Sardonic está integrado en un script de PowerShell que se implementó en el sistema objetivo después de obtener el acceso inicial. La secuencia de comandos está diseñada para iniciar un cargador .NET, que luego descifra y ejecuta un módulo inyector para finalmente ejecutar el implante.

“El propósito del inyector es iniciar la puerta trasera en un proceso WmiPrvSE.exe recién creado”, explicó Symantec. “Al crear el Proceso WmiPrvSE.exeel inyector intenta iniciarlo en la sesión 0 (mejor esfuerzo) utilizando un token robado del proceso lsass.exe”.

Sardonic, además de admitir hasta 10 sesiones interactivas en el host infectado para que el actor de amenazas ejecute comandos maliciosos, admite tres formatos de complemento diferentes para ejecutar DLL y shellcode adicionales.

PRÓXIMO SEMINARIO WEB

Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS

¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.

Únete hoy

Algunas de las otras características de la puerta trasera incluyen la capacidad de eliminar archivos arbitrarios y filtrar el contenido de los archivos de la máquina comprometida a una infraestructura controlada por el actor.

Esta no es la primera vez que se detecta FIN8 usando Sardonic en relación con un ataque de ransomware. En enero de 2022, Lodestone y Trend Micro descubrieron el uso del ransomware White Rabbit por parte de FIN8, que, en sí mismo, se basa en Sardonic.

“Syssphinx continúa desarrollando y mejorando sus capacidades e infraestructura de entrega de malware, refinando periódicamente sus herramientas y tácticas para evitar la detección”, dijo Symantec.

“La decisión del grupo de expandirse de los ataques en el punto de venta al despliegue de ransomware demuestra la dedicación de los actores de amenazas para maximizar las ganancias de las organizaciones víctimas”.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Helmaris fuera durante mucho tiempo frente a la afición local – ¿Continuará la racha ganadora?
Next: Así es como realmente vas descalzo

Related Stories

Los Emiratos Árabes Unidos obtienen acceso libre a los chips
  • Tecnología

Los Emiratos Árabes Unidos obtienen acceso libre a los chips de IA y al material militar estadounidenses

teknomers 11 de Temmuz de 2026
Pénurie d'hélium: la alerta de Intel sobre los chips IA
  • Tecnología

Pénurie d’hélium: la alerta de Intel sobre los chips IA reavivada por la prohibición de exportación de China

teknomers 11 de Temmuz de 2026
Esta exclusiva de PlayStation muy esperada tendrá su versión física
  • Tecnología

Esta exclusiva de PlayStation muy esperada tendrá su versión física con disco.

teknomers 11 de Temmuz de 2026

You May Have Missed

«No hay nada de lo que debería avergonzarme»: la sorprendente
  • Deporte

«No hay nada de lo que debería avergonzarme»: la sorprendente similitud de este modelo ruso con el noruego Erling Haaland

teknomers 11 de Temmuz de 2026
  • Cultura

«Es mi historia, la del padre de mis hijos…»: en el festival Off de Avignon, Aurore Auteuil interpreta a un hombre

teknomers 11 de Temmuz de 2026
Los Emiratos Árabes Unidos obtienen acceso libre a los chips
  • Tecnología

Los Emiratos Árabes Unidos obtienen acceso libre a los chips de IA y al material militar estadounidenses

teknomers 11 de Temmuz de 2026
Un atasco de 937 km en los salidas de vacaciones,
  • Entretenimiento

Un atasco de 937 km en los salidas de vacaciones, en plena canícula.

teknomers 11 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.