...
🧠 Blogi on omistettu VPN: n ja turvallisuuden, internetin tietosuojan aiheelle. Puhumme ajankohtaisista trendeistä ja uutisista, jotka liittyvät suojeluun.
Datan suojeluKenraaliPoliittisia uutisia

Kyberrikollisjengi muodostaa väärennetyn yrityksen rekrytoidakseen tietoturvaasiantuntijoita kyberhyökkäyksiä varten

8
Sisältö
FIN7 Cybercrime Group tunnistettu Darkside Raas Operatoriksi
FIN7 käytti aiemmin Combi Securea

Venäläinen hakkerointiryhmä FIN7 perusti Bastion Secure -nimisen väärennetyn turvallisuusorganisaation vuoden 2021 alussa ja käytti sitä kyberturvallisuustyöntekijöiden houkuttelemiseen, palkkaamiseen ja sitten huijaamiseen auttamaan kiristysohjelmahyökkäyksiä. Yhtiö väittää tarjoavansa kyberturvallisuuspalveluita julkiselle sektorille ja yksityisille organisaatioille ympäri maailmaa.

Recorded Future -divisioona, Gemini Advisory, suoritti tutkimuksen ja paljasti, että yritys peittää FIN7-hakkerointiryhmää, joka käytti Bastion Securen verkkosivustoa työpaikkailmoitusten lähettämiseen useisiin venäläisiin työpaikkaportaaleihin, jotka halusivat rekrytoida teknologiatyöntekijöitä useisiin tehtäviin.

Kuva: The Record

Verkkosivuillaan olevien ilmoitusten mukaan FIN7 palkkasi PHP-ohjelmoijia, järjestelmänvalvojia, Python-, C++- ja käänteisiä suunnittelijoita.

Yksi Gemini Advisorysta kävi läpi koko rekrytointiprosessin tutkiakseen yritystä, johon kaikki hakijat kävivät läpi haastatteluprosessin, joka sisälsi kolme vaihetta:

Vaikka haastatteluprosessi vaikutti kaiken kaikkiaan hieman hämärältä, viimeinen vaihe todella antoi sen periksi. Gemini Advisory totesi, että 3. vaiheen penetraatiotesteihin ei ollut oikeuttavia asiakirjoja, mikä on yleensä tavallista.

Lisäksi yrityksen edustajat pyysivät hakijoita käyttämään vain sellaisia ​​työkaluja, joita mikään tietoturvaohjelmisto ei havaitse, ja etsimään kriittisesti tiedostojen tallennusjärjestelmiä ja varmuuskopioita yrityksen verkkoon päästyään.

Gemini Advisory -yksikön tutkijoiden mukaan:

"Heti kävi selväksi, että yritys oli sekaantunut rikolliseen toimintaan. Se, että Bastion Securen edustajat olivat erityisen kiinnostuneita tiedostojärjestelmistä ja varmuuskopioista, osoittaa, että FIN7 oli enemmän kiinnostunut ransomware-hyökkäyksistä kuin [myyntipisteen] infektioista."

Bastion Secure -yrityksen tehtävää tarjonnut tutkija analysoi yrityksen tarjoamia työkaluja. Molemmat työkalusarjat Carbanak ja Tirion (Lizar) on aiemmin liitetty FIN7:ään, ja molempia voidaan käyttää lunnasohjelmien käyttöönotossa ja PoS-järjestelmien hakkerointiin. Näimme äskettäin samanlaisia ​​hyökkäyksiä FIN8:lta, FIN7:ltä ja FIN6:lta. Syyskuussa 2021 FIN8 takaovei yhdysvaltalaisia ​​finanssiorganisaatioita haittaohjelmilla.

FIN7 Cybercrime Group tunnistettu Darkside Raas Operatoriksi

Bastion Securen hakijan (Gemini Advisoryn jäsen) kanssa jakamat työkalut linkitettiin haittaohjelmakantoihin ja ovat olleet osa FIN7:n arsenaalia, kuten Carbanak ja Lizar/Tirion. Geminin jäsen sanoi myös, että kaikille hakijoille annetut tehtävät "vastasivat ransomware-hyökkäyksen valmisteluvaiheita".

Gemini Advisoryn mukaan yritys asensi kaksi lunnasohjelmakantaa Ryuk tai REvil, jotka ovat olleet osa FIN7:n kyberhyökkäyksiä viime vuosina.

Microsoftin tietoturvatutkijoiden mukaan BlackMatter- ja DarkSide-lunastusohjelmiin olisi käytetty uusia hyökkäyksiä. BlackMatter on äskettäin hyökännyt teknologiajätti Olympukseen ja yhdysvaltalaiseen viljelijäosuuskuntaan New Cooperative Inc: iin .

Lisäksi Microsoftin edustaja Christopher Glyer ja Nick Carr ilmoittivat, että FIN7 ei vain ottanut käyttöön DarkSide-lunastusohjelmaa, vaan myös hallinnoi Darkside RaaS:ää (Ransomware-as-a-Service).

FIN7 käytti aiemmin Combi Securea

Turvayrityksen perustaminen ei ollut FIN7:lle uusi taktiikka. He käyttivät samaa taktiikkaa vuonna 2010, kun he perustivat valeturvayrityksen nimeltä Combi Security.

Kuitenkin tuolloin yritys harjoitti myyntipiste-haittaohjelmien käyttöönottoa. He palkkasivat Combi Securityn turvatyöntekijöitä murtautumaan eri vähittäiskaupan organisaatioiden verkkoihin, minkä jälkeen he käyttivät järjestelmään PoS-haittaohjelmia varastaakseen asiakkaiden luottokorttitietoja hakkeroiduista verkoista US DoJ:n raportin mukaan .

Kuva: The Record

Brett Callow, Emisoftin kiristysohjelmaasiantuntija, että FIN7:n päätös piiloutua Bastion Securen taakse todennäköisesti välttää lain ei-toivotun huomion. Hän sanoi edelleen:

“Ei ole ollenkaan yllättävää, että tietoverkkorikollisoperaatiossa yritetään rekrytoida väärennetyn yrityksen kautta. Pimeästä verkosta palkkaaminen on ongelmallista ja riskialtista. Ransomware-jengit ovat vähemmän tervetulleita tietyille kyberrikosfoorumeille kuin ennen, ja hakijat voivat mahdollisesti olla salatyössä työskenteleviä lainvalvontaviranomaisia.

Gemini Advisoryn mukaan syy siihen, miksi FIN7 meni niin pitkälle luodakseen väärennetyn yrityksen, ei vain kerran vaan kahdesti, liittyy rahaan ja toimintakustannuksiin. Se, mitä Callow sanoi, on myös hyvin järkevää, koska pimeästä verkosta palkkaaminen on riskialtista.

Se on epäilemättä huolestuttavaa, sillä työntekijät voivat joutua harhaan työnsä luonteen suhteen, eivätkä he pysty ymmärtämään, että heitä testataan kynällä.

saatat pitää myös Lisää kirjoittajalta
Lisää merkintöjä

PIA VPN Reddit – (Redditorsin aidot kommentit)

Yksityisen Internet-yhteyden asentaminen Kodille…

Kuinka peruuttaa ipVanish ja saada hyvitys [2020 Guide]

1 of 449

Tämä verkkosivusto käyttää evästeitä parantaakseen käyttökokemustasi. Oletamme, että olet kunnossa, mutta voit halutessasi kieltäytyä. Hyväksyä Lisätietoja