fin8-blackcat-deployment

# FIN8 - Deploy BlackCat/ALPHV via Sardonic (2022) > [!high] FIN8 Usa Sardonic Reescrito para Deploy de Ransomware BlackCat - Dezembro 2022 > Em dezembro de 2022, a Symantec identificou o [[g0061-fin8|FIN8 (Syssphinx)]] utilizando uma versão completamente reescrita do backdoor [[s1085-sardonic|Sardonic]] para implantar o ransomware [[alphv-blackcat|ALPHV/BlackCat (Noberus)]] em redes corporativas, marcando expansão estratégica do grupo para RaaS. ## Visão Geral A campanha de dezembro de 2022 representa a terceira evolução documentada do [[g0061-fin8|FIN8]] em direção ao ransomware — após Ragnar Locker (junho 2021) e White Rabbit (janeiro 2022). Desta vez, o grupo escolheu o [[alphv-blackcat|ALPHV/BlackCat]] (também rastreado como Noberus), um ransomware escrito em Rust operado por [[coreid|Coreid]] (aka Carbon Spider, FIN7 no contexto de ransomware). O vetor mais notável desta campanha foi o **Sardonic reescrito em C puro**. A Symantec detectou que a versão de 2022 eliminou completamente a C++ standard library e substituiu padrões orientados a objetos por implementação em C puro — uma mudança deliberada para reduzir detecção e dificultar atribuição ao ocultarem similaridades com análises anteriores do Bitdefender de 2021. A cadeia de infecção foi iniciada via PsExec para executar o comando `quser` (discovery de sessões RDP), seguido de PowerShell invoke-expression para baixar e executar o Sardonic atualizado. O objetivo final foi o deploy do encryptor BlackCat, embora fontes não confirme se o ransomware foi implantado com sucesso ou bloqueado. Esta campanha também gerou evidências mais sólidas da relação entre FIN8 e [[black-basta|Black Basta]], já que o AvNeutralizer (ferramenta EDR killer do FIN8) foi exclusivo do Black Basta por meses antes desta campanha. ## Attack Flow ```mermaid graph TB A["🖥️ Acesso inicial Via comprometimento prévio ou broker de acesso"] --> B["🔧 PsExec + quser Discovery de sessões ativas nos hosts"] B --> C["📜 PowerShell IEX Download e execução do Sardonic v2 C-puro"] C --> D["🔌 Sardonic C2 RC4 encryption - versão reescrita sem C++ stdlib"] D --> E["🛡️ EDR bypass Possível uso de AvNeutralizer/AuKill"] E --> F["💥 ALPHV/BlackCat deploy Encryptor Rust multi-plataforma Windows + Linux + VMware ESXi"] ``` ## Sardonic v2 - Diferenças da Versão 2021 | Característica | Sardonic 2021 (C++) | Sardonic 2022 (C puro) | |---------------|---------------------|------------------------| | Linguagem | C++ com STL | C puro, sem C++ stdlib | | Paradigma | Orientado a objetos | Procedural - sem OOP | | Detecção | Detectável por assinatura 2021 | Nova aparência, evade regras antigas | | Loader | Downloader intermediário shellcode | PowerShell IEX direto | | Sessões | 10 sessões concorrentes | 10 sessões - token stealing por PID | | Packer | N/A | .NET DLL obfuscado no PowerShell inicial | ## Contexto: FIN8 e o Mercado RaaS ```mermaid graph TB A["FIN8 / Syssphinx Grupo financeiramente motivado desde 2016"] --> B["Jun 2021 Ragnar Locker primeira incursão ransomware"] A --> C["Jan 2022 White Rabbit ransomware com Sardonic"] A --> D["Dez 2022 ALPHV/BlackCat Sardonic reescrito em C"] D --> E["Relação com Black Basta AvNeutralizer exclusivo do BB antes de 2023"] D --> F["Venda AvNeutralizer múltiplos grupos RaaS partir de jan 2023"] ``` Esta evolução demonstra que o FIN8 transformou-se de grupo especializado em ataques POS para operador de Big Game Hunting com capacidade de deploy de ransomware de alto impacto. ## TTPs Mapeados | Técnica | ID | Descrição | |---------|----|-----------| | PowerShell via IEX | [[t1059-001-powershell\|T1059.001]] | PowerShell invoke-expression para carregar Sardonic | | Execução via PsExec | [[t1569-002-system-services\|T1569.002]] | PsExec para execução remota e discovery | | Ofuscação de código | [[t1027-obfuscated-files-or-information\|T1027]] | .NET DLL obfuscado embutido no PowerShell loader | | Dados cifrados | [[t1486-data-encrypted-for-impact\|T1486]] | ALPHV/BlackCat ransomware Rust multi-plataforma | | Movimento lateral SMB | [[t1021-002-smb-windows-admin-shares\|T1021.002]] | PsExec via compartilhamentos administrativos | ## Detecção e Defesa **Indicadores comportamentais:** - PsExec executando `quser` como precursor de atividade hands-on-keyboard - PowerShell IEX (Invoke-Expression) baixando payloads de infraestrutura remota - Processos com .NET DLL obfuscados executados de scripts PowerShell - Tentativas de desabilitar processos de segurança via drivers vulneráveis (RTCore64.sys) **Mitigações:** - [[m1049-antivirus\|M1049]] - Monitoramento de PowerShell scriptblock logging - [[m1026-privileged-account-management\|M1026]] - Limitar uso de PsExec apenas a contas de admin específicas - [[m1038-execution-prevention\|M1038]] - Bloqueio de execução de drivers vulneráveis conhecidos ## Referências - [1](https://www.bleepingcomputer.com/news/security/fin8-deploys-alphv-ransomware-using-sardonic-malware-variant/) BleepingComputer - FIN8 Deploys ALPHV Ransomware Using Sardonic Malware Variant (2023) - [2](https://blackpointcyber.com/resources/blog/fin8-latest-remix-with-sardonic-and-noberus/) Blackpoint Cyber - FIN8's Latest Remix: Sardonic with Noberus (2023) - [3](https://duo.com/decipher/fin8-reworks-backdoor-to-sidestep-detection) Decipher - FIN8 Reworks Backdoor to Sidestep Detection (2023) - [4](https://assets.kpmg.com/content/dam/kpmgsites/in/pdf/2023/08/kpmg-ctip-fin8-1-aug-2023.pdf.coredownload.inline.pdf) KPMG - Cyber Threat Intelligence Advisory FIN8 (2023)