🧠 El blog está dedicado al tema de VPN y seguridad, privacidad de datos en Internet. Hablamos de tendencias actuales y noticias relacionadas con la protección.
FugasGeneralMisceláneas

Pandilla de cibercriminales forma una empresa falsa para reclutar expertos en seguridad para ataques cibernéticos

10
Contenido
Grupo de ciberdelincuencia FIN7 identificado como operadores de Darkside Raas
Combi Secure operado por FIN7 Anteriormente

FIN7, un grupo de piratería ruso, creó una organización de seguridad falsa llamada Bastion Secure a principios de 2021 y la usó para atraer a los trabajadores de ciberseguridad, contratarlos y luego engañarlos para que ayudaran en los ataques de ransomware. La compañía afirma brindar servicios de ciberseguridad a sectores públicos y organizaciones privadas en todo el mundo.

Una división de Recorded Future, Gemini Advisory, realizó una investigación y reveló que la compañía es una tapadera para el grupo de hackers FIN7 que usó el sitio web de Bastion Secure para publicar anuncios de trabajo en varios portales de empleo rusos, con el deseo de reclutar trabajadores de tecnología para múltiples puestos.

Imagen: El registro

Según los anuncios en su sitio web, FIN7 contrató a programadores de PHP, administradores de sistemas, Python, C++ e ingenieros inversos.

Uno de Gemini Advisory pasó por todo el proceso de reclutamiento para estudiar la empresa que todas las personas que aplicaron pasaron por un proceso de entrevista que incluyó tres fases:

Si bien el proceso de entrevistas en general parecía un poco turbio, la última fase en realidad lo delató. Gemini Advisory afirmó que no había documentos que autorizaran las pruebas de penetración en la 3ra fase, lo que suele ser habitual.

Además, los representantes de la empresa pidieron a los solicitantes que utilicen únicamente las herramientas que no serán detectadas por ningún software de seguridad y que busquen de forma crítica sistemas de almacenamiento de archivos y copias de seguridad una vez que accedan a la red de la empresa.

Según los investigadores de la unidad Gemini Advisory:

“Se hizo evidente de inmediato que la empresa estaba involucrada en actividades delictivas. El hecho de que los representantes de Bastion Secure estuvieran particularmente interesados ​​en los sistemas de archivos y las copias de seguridad indica que FIN7 estaba más interesado en realizar ataques de ransomware que en infecciones [en el punto de venta]".

Un investigador al que la empresa Bastion Secure le ofreció un puesto analizó las herramientas que le proporcionaba la empresa. Ambos conjuntos de herramientas Carbanak y Tirion (Lizar) se han atribuido previamente a FIN7 y ambos se pueden usar para implementar ransomware y hackear sistemas PoS. Recientemente vimos ataques similares por parte de FIN8, FIN7 y FIN6. En septiembre de 2021, FIN8 usó software malicioso para organizaciones financieras de EE. UU .

Grupo de ciberdelincuencia FIN7 identificado como operadores de Darkside Raas

Las herramientas que Bastion Secure compartió con un solicitante (miembro de Gemini Advisory) estaban vinculadas a cepas de malware y han sido parte del arsenal de FIN7, como Carbanak y Lizar/Tirion. El miembro de Gemini también dijo que las tareas asignadas a todos los solicitantes “coincidieron con los pasos tomados para preparar un ataque de ransomware".

Según Gemini Advisory, la empresa instaló dos cepas de ransomware, Ryuk o REvil, que han formado parte de los ciberataques FIN7 en los últimos años.

Según los investigadores de seguridad de Microsoft, los ataques más nuevos se habrían implementado en el ransomware BlackMatter y DarkSide. BlackMatter atacó recientemente a Olympus, un gigante tecnológico, y a la cooperativa de agricultores de EE. UU. , New Cooperative Inc.

Además, el representante de Microsoft Christopher Glyer y Nick Carr declararon que FIN7 no solo implementó el ransomware DarkSide, sino que también administró Darkside RaaS (Ransomware-as-a-Service).

Combi Secure operado por FIN7 Anteriormente

Formar una empresa de seguridad no era una táctica nueva para FIN7. Usaron la misma táctica en 2010 cuando crearon una empresa de seguridad falsa llamada Combi Security.

Sin embargo, en ese momento, la empresa se dedicaba a implementar malware de punto de venta. Usaron Combi Security para contratar trabajadores de seguridad para violar varias redes de organizaciones minoristas, luego de lo cual implementaron malware PoS en el sistema para robar los detalles de las tarjetas de crédito de los clientes de las redes pirateadas, según un informe del Departamento de Justicia de EE. UU.

Imagen: El registro

Brett Callow, experto en ransomware de Emisoft, dijo que es probable que la decisión de FIN7 de esconderse detrás de Bastion Secure evite la atención no deseada de la ley. Dijo además:

“No sorprende en absoluto que una operación de ciberdelincuencia intente reclutar a través de una empresa falsa. Contratar desde la dark web es problemático y arriesgado. Las pandillas de ransomware son menos bienvenidas en ciertos foros de delitos cibernéticos que antes, y los solicitantes podrían ser agentes de la ley que trabajan encubiertos”.

Según Gemini Advisory, la razón por la que FIN7 hizo todo lo posible para crear una empresa falsa no solo una sino dos veces tiene que ver con el dinero y los costos operativos. Lo que dijo Callow también tiene mucho sentido, ya que contratar desde la dark web es arriesgado.

No hay duda de que los empleados pueden ser engañados en cuanto a la naturaleza de su trabajo y no podrán darse cuenta de que están siendo evaluados.

También podría gustarte Más del autor
Más historias

PIA VPN Reddit – (Comentarios auténticos de…

Cómo instalar el acceso privado a Internet en Kodi…

Cómo cancelar ipVanish y obtener un reembolso [Guía…

1 De 447

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More