g0061-fin8 - RunkIntel

# FIN8 > [!danger] Evolução Critica - POS para BlackCat/ALPHV > **FIN8** (Syssphinx) é um grupo de cibercrime financeiro ativo desde janeiro de 2016, que passou por uma transformação estratégica significativa: saiu do roubo de dados de cartões em POS para se tornar um **afiliado de ransomware de alto impacto**, tendo implantado Ragnar Locker (2021), White Rabbit (2022) e **BlackCat/ALPHV** (2022-2024) - um dos ransomwares mais destrutivos e ativos. Seu backdoor proprietario **Sardonic** foi reescrito em linguagem C pura em 2022, demonstrando investimento continuo em capacidades ofensivas. ## Visão Geral **FIN8** (rastreado pela Symantec como **Syssphinx**) é um grupo de ameaça com motivação financeira ativo desde pelo menos **janeiro de 2016**. O grupo demonstrou persistência e evolução técnica excepcionais ao longo de quase uma decada, passando por tres grandes fases operacionais. **Visão geral:** - Origem: desconhecida (comportamento e infraestrutura sugerem Eastern Europe) - Ativo desde: **2016** com foco inicial em POS de hospitalidade e varejo - Motivação: **financeiro** - roubo de dados de cartão, ransomware de dupla extorsão - Evolução: POS malware (2016) → e-skimming (2019) → ransomware afiliado (2021+) - Backdoor proprietario: **Sardonic** - C++ (2021), reescrito em C puro (2022) - Afiliado RaaS: Ragnar Locker → White Rabbit → **BlackCat/ALPHV** (2022-2024) **Diferencial técnico:** o FIN8 é notavel por períodos de **inatividade estratégica** entre campanhas (6-12 meses), durante os quais o grupo aparentemente aprimora seu arsenal antes de retornar com capacidades renovadas. O Sardonic passou por reescrita completa entre versões documentadas, demonstrando equipe de desenvolvimento dedicada. ## Campanhas Documentadas ### FIN8 Sardonic C++ Backdoor - 2021 O FIN8 foi silencioso por dois anos (2019-2021) antes de reaparecer com um backdoor completamente novo: **Sardonic**. Escrito em C++, o Sardonic suporta carregamento dinâmico de plugins, comunicação C2 criptografada e execução de comandos arbitrarios. A campanha de 2021 visou um banco dos EUA como alvo inicial. ### FIN8 BlackCat/ALPHV Deployment - 2022 a 2024 A Symantec documentou o FIN8 (rastreado como Syssphinx) implantando **BlackCat/ALPHV** em campanhas de ransomware. O grupo atualizou o Sardonic de C++ para **C puro** específicamente para carregar o payload BlackCat de forma mais furtiva. BlackCat é um ransomware RaaS escrito em Rust, com capacidade de criptografar Windows, Linux e VMware ESXi. ### FIN8 Ragnar Locker / White Rabbit - 2021 a 2022 Transição inicial para ransomware com implantação de Ragnar Locker (2021) e White Rabbit (2022) - um ransomware que incorpora técnicas anti-análise sofisticadas e exige senha via linha de comando para execução (resistente a sandbox). ### POS e Hospitalidade - 2016 a 2019 Fase inicial com roubo de dados de cartão via PUNCHTRACK (scrapers de memória POS), PUNCHBUGGY (dropper) e BADHATCH (backdoor multipurpose). Alvos: hoteis, restaurantes, redes de varejo com POS Windows. ## Arsenal | Ferramenta | Tipo | Função | |-----------|------|--------| | [[s1085-sardonic\|Sardonic]] | Backdoor C/C++ | Backdoor proprietário com suporte a plugins dinâmicos - core do grupo | | [[badhatch\|BADHATCH]] | Backdoor | Implante inicial multipropósito com comunicação C2 HTTP | | [[s0197-punchtrack\|PUNCHTRACK]] | POS Scraper | Scraper de memória de processos POS para captura de dados de trilha | | [[s0196-punchbuggy\|PUNCHBUGGY]] | Dropper | Downloader inicial que instala BADHATCH ou outros payloads | | [[s0481-ragnar-locker\|Ragnar Locker]] | Ransomware | Ransomware de dupla extorsão - parceiro RaaS da fase de transição | | [[s0154-cobalt-strike\|Cobalt Strike]] | Framework C2 | Pós-exploração, beacon C2 e movimento lateral em redes Windows | | [[psexec\|PsExec]] | Lateral Movement | Execução remota para distribuição de payloads em rede | | BlackCat/ALPHV | Ransomware Rust | Ransomware cross-platform (Windows/Linux/ESXi) - afiliação ativa | ## Attack Flow - Ataque com Sardonic e BlackCat ```mermaid graph TB A["🎣 Spearphishing Link ou anexo malicioso T1566.001/002"] --> B["💥 Execução Inicial BADHATCH / PUNCHBUGGY T1204.002 Malicious File"] B --> C["🐚 Sardonic Backdoor C2 criptografado HTTPS T1071.001 Web Protocols"] C --> D["🔍 Reconhecimento Security Software Discovery T1518.001 - T1033"] D --> E["🚀 Cobalt Strike Deploy Movimento lateral RDP T1021.001 - T1078"] E --> F["🔒 BlackCat/ALPHV Criptografia Windows/Linux/ESXi Dupla extorsão"] F --> G["💬 Extorsão Site de vazamento + negociação US$ Ransom demand"] ``` ## Timeline do Grupo ```mermaid timeline title FIN8 - Linha do Tempo 2016 : Primeiros ataques POS documentados : Hospitalidade e varejo - PUNCHTRACK 2017 : BADHATCH e PUNCHBUGGY introduzidos : Expansão de setores alvejados 2019 : Período de inatividade estratégica : Reescrita de arsenal (2019-2021) 2021 : Retorno com Sardonic C++ backdoor : Ragnar Locker ransomware implantado 2022 : White Rabbit ransomware : Sardonic reescrito em C puro : Início de afiliação com BlackCat/ALPHV 2023 : BlackCat campanhas ativas via Sardonic : Symantec publica análise Syssphinx 2026 : Monitoramento ativo - evolução esperada ``` ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|-----|-----------| | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | E-mails de spearphishing com anexos ou links maliciosos | | Persistence | WMI Event Subscription | [[t1546-003-windows-management-instrumentation-event-subscription\|T1546.003]] | Persistência via eventos WMI - difícil de detectar | | Persistence | Scheduled Task | [[t1053-005-scheduled-task\|T1053.005]] | Tarefas agendadas para persistência de implantes | | Defense Evasion | Code Signing Certificates | [[t1588-003-code-signing-certificates\|T1588.003]] | Uso de certificados de assinatura de código para evasão | | Defense Evasion | Clear Windows Event Logs | [[t1070-001-clear-windows-event-logs\|T1070.001]] | Limpeza de logs de eventos após comprometimento | | Defense Evasion | Command Obfuscation | [[t1027-010-command-obfuscation\|T1027.010]] | Ofuscação de comandos PowerShell para evasão de AV | | Discovery | Security Software Discovery | [[t1518-001-security-software-discovery\|T1518.001]] | Identificação de EDR/AV para evasão direcionada | | Impact | Ransomware | [[t1486-data-encrypted-for-impact\|T1486]] | BlackCat/ALPHV para criptografia de Windows, Linux e VMware ESXi | ## Relevância para o Brasil e LATAM > [!warning] Ameaça ao Varejo, Hotelaria e Infraestrutura Virtualizada > O FIN8 representa ameaça crescente para o Brasil. Seu foco historico em **hospitalidade e varejo** (setores robustos na economia brasileira) e sua evolução para **BlackCat/ALPHV** - que criptografa ambientes VMware ESXi - torna o grupo altamente perigoso para organizações brasileiras com data centers virtualizados. Redes de hoteis internacionais operando no Brasil (Marriott, Hilton, Accor) com POS integrados são perfil clássico de vitima. **Vetores de risco para o Brasil:** - **Redes de hospitalidade internacionais** com operações no Brasil: Marriott, Hilton, Accor e similares usam sistemas POS Windows que historicamente são o vetor primario do FIN8 - **Varejistas com POS legados**: redes de supermercados, farmácias e postos de combustível com sistemas Windows XP/7 sem EDR são vulneráveis ao PUNCHTRACK - **Data centers com VMware ESXi**: BlackCat/ALPHV pode criptografar toda a infraestrutura virtual de uma empresa em minutos - risco critico para qualquer empresa brasileira com virtualização - **Profissionais financeiros como alvos de spearphishing**: emails de spearphishing do FIN8 são altamente customizados e frequentemente usam contexto de setor financeiro **Indicadores comportamentais:** - Processo de sistema lendo regiões de memória de processos POS (scraping de memória) - Evento WMI `__EventFilter` criado por processo não administrativo - Sardonic: processo com nome aleatório comúnicando com C2 via HTTPS em horarios incomuns - Certutil ou PowerShell baixando executáveis de sites legitimos como pretexto ## Detecção **Regras de detecção:** - WMI Event Subscription criada (eventos 5859/5861 no Microsoft-Windows-WMI-Activity/Operational) - Processo de sistema (`svchost.exe`) com conexão TCP incomum para IP externo - LSASS memory access por processo não esperado (EDR detection de LSASS dump) - Arquivos temporarios com nomes de 8 caracteres aleatórios em `%TEMP%` ou `%APPDATA%` - PowerShell com flag `-EncodedCommand` em scripts de tarefas agendadas novas ## Referências - [1](https://www.symantec.com/blogs/threat-intelligence/fin8-syssphinx-blackcat) Symantec - FIN8/Syssphinx BlackCat Deployment (2023) - [2](https://attack.mitre.org/groups/G0061) MITRE ATT&CK - FIN8 (G0061) - [3](https://www.bitdefender.com/blog/labs/fin8-group-using-sardonic-backdoor/) Bitdefender - FIN8 Sardonic Backdoor Analysis (2022) - [4](https://www.mandiant.com/resources/blog/fin8-rs4-use-in-magecart) Mandiant - FIN8 Profile (2021) - [5](https://unit42.paloaltonetworks.com/white-rabbit-ransomware-fin8/) Unit 42 - White Rabbit Ransomware FIN8 (2022) **Atores relacionados:** [[g0037-fin6|FIN6]] · [[g0046-fin7|FIN7]] · [[g0008-carbanak|Carbanak]] **Campanhas:** [[fin8-sardonic-campaign|FIN8 Sardonic Campaign]] · [[fin8-blackcat-deployment|FIN8 BlackCat Deployment]] **Malware e ferramentas:** [[s1085-sardonic|Sardonic]] · [[badhatch|BADHATCH]] · [[s0197-punchtrack|PUNCHTRACK]] · [[s0154-cobalt-strike|Cobalt Strike]] **TTPs principais:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1546-003-windows-management-instrumentation-event-subscription|T1546.003]] · [[t1518-001-security-software-discovery|T1518.001]] · [[t1070-001-clear-windows-event-logs|T1070.001]] **Setores alvejados:** [[hospitality|Hospitalidade]] · [[retail|Varejo]] · [[financial|Financeiro]] · [[technology|Tecnologia]]