Die Hackergruppe FIN8 ist seit 2016 aktiv und hat sich laut der Mitre Corporation auf den Diebstahl von Kreditkartendaten von POS-Systemen spezialisiert. Dazu nutzt die Gruppe zahlreiche unterschiedliche Angriffsvektoren, darunter seit 2019 eine funktionsreiche Malware namens „Badhatch“.

Spear-Phishing-Kampagnen der Gruppe zielen außerdem auf den Einzelhandel sowie auf Hotels und Gaststätten ab. Aktuell finden sich auch Versicherungen oder Unternehmen aus der Chemieindustrie unter den Opfern der neuen Variante.

Neue Variante

Seit April 2020 konnte Bitdefender drei Varianten der fortschrittlichen Backdoor Badhatch entdecken. Bei erfolgreichem Angriff sind die Hacker in der Lage, Daten zu Kreditkartenvorgängen am POS zu stehlen. Zu den neuen Funktionalitäten der dritten Generation des Toolkits gehören unter anderem:

  • das unerlaubte Aufzeichnen von Bildschirminhalten, Proxy-Tunnel und eine Fileless- Ausführung
  • ein besserer Schutz gegen Abwehrsoftware. Powershell-Kommandos werden nun mit TLS unter Missbrauch des sslip.io-Dienstes verschlüsselt.

Handlungsempfehlungen

Wie die meisten hartnäckigen und geschickten Cyberkriminellen verbessert auch FIN8 ständig seine Tools und Taktiken, um nicht entdeckt zu werden. Bitdefender empfiehlt, die folgenden Maßnahmen zu ergreifen, um die Auswirkungen von Finanz-Malware zu minimieren:

  • Das POS-Netzwerk vom Netzwerk trennen, das von Mitarbeitern oder Gästen genutzt wird.
  • Schulungen zum Thema Cybersicherheit für Mitarbeiter durchführen, damit sie Phishing-E-Mails erkennen können.
  • E-Mail-Sicherheitslösung anpassen, so dass bösartige oder verdächtige Anhänge automatisch entfernt werden.
  • Bedrohungsdaten in das bestehende SIEM oder in die Sicherheitskontrollen für relevante Indikatoren der Kompromittierung zu integrieren.
  • KMU ohne eigenes Sicherheitsteam sollten die Auslagerung von Sicherheitsoperationen an Anbieter von Lösungen für Managed Detection and Response in Betracht ziehen.

„Wir fordern Unternehmen in den betroffenen Branchen zu erhöhter Wachsamkeit auf. IT-Teams sollen nach Hinweisen auf kompromittierte Daten suchen“, erklärt Bogdan Botezatu, Leiter der Bedrohungsanalyse bei Bitdefender.