FIN7, un groupe de piratage russe, a créé une fausse organisation de sécurité nommée Bastion Secure au début de 2021 et l'a utilisée pour attirer les travailleurs de la cybersécurité, les embaucher, puis les inciter à participer aux attaques de ransomwares. La société prétend fournir des services de cybersécurité aux secteurs publics et aux organisations privées du monde entier.
Une division Recorded Future, Gemini Advisory, a mené une enquête et a révélé que la société était une couverture pour le groupe de piratage FIN7 qui utilisait le site Web de Bastion Secure pour publier des offres d'emploi sur divers portails d'emploi russes, souhaitant recruter des travailleurs technologiques pour plusieurs postes.
Image : Le dossier
Selon les publicités sur son site Web, FIN7 a embauché des programmeurs PHP, des administrateurs système, Python, C++ et des rétro-ingénieurs.
L'un de Gemini Advisory a suivi tout le processus de recrutement pour étudier l'entreprise que toutes les personnes qui ont postulé sont passées par un processus d'entretien comprenant trois phases :
Alors que le processus d'entretien dans son ensemble semblait un peu louche, la dernière phase l'a en fait révélé. Gemini Advisory a déclaré qu'il n'y avait pas de documents autorisant les tests d'intrusion dans la 3e phase, ce qui est généralement habituel.
De plus, les représentants de l'entreprise ont demandé aux candidats de n'utiliser que des outils qui ne seront détectés par aucun logiciel de sécurité et de rechercher de manière critique les systèmes de stockage de fichiers et les sauvegardes une fois qu'ils accèdent au réseau de l'entreprise.
Selon les chercheurs de l'unité Gemini Advisory :
«Il est devenu immédiatement clair que l'entreprise était impliquée dans des activités criminelles. Le fait que les représentants de Bastion Secure s'intéressent particulièrement aux systèmes de fichiers et aux sauvegardes indique que FIN7 était plus intéressé par les attaques de ransomwares que par les infections [au point de vente]."
Un chercheur qui s'est vu offrir un poste par la société Bastion Secure a analysé les outils qui leur étaient fournis par la société. Les deux kits d'outils Carbanak et Tirion (Lizar) ont été précédemment attribués à FIN7 et les deux peuvent être utilisés pour déployer des ransomwares et pirater des systèmes PoS. Nous avons récemment vu des attaques similaires par FIN8, FIN7 et FIN6. En septembre 2021, FIN8 a détourné des organisations financières américaines avec des logiciels malveillants.
FIN7 Cybercrime Group identifié comme opérateur Darkside Raas
Les outils partagés par Bastion Secure avec un candidat (membre de Gemini Advisory) étaient liés à des souches de logiciels malveillants et faisaient partie de l'arsenal de FIN7, comme Carbanak et Lizar/Tirion. Le membre Gemini a également déclaré que les tâches assignées à tous les candidats "correspondaient aux mesures prises pour préparer une attaque de ransomware".
Selon Gemini Advisory, la société a installé deux souches de rançongiciel Ryuk ou REvil, qui ont fait partie des cyberattaques FIN7 au cours des dernières années.
Selon les chercheurs en sécurité de Microsoft, de nouvelles attaques auraient été déployées sur les rançongiciels BlackMatter et DarkSide. BlackMatter a récemment attaqué Olympus, un géant de la technologie, et la coopérative agricole américaine New Cooperative Inc.
De plus, les représentants de Microsoft Christopher Glyer et Nick Carr ont déclaré que FIN7 n'a pas seulement déployé le ransomware DarkSide, mais a également géré le Darkside RaaS (Ransomware-as-a-Service).
Combi Secure exploité par FIN7
Former une entreprise de sécurité n'était pas une nouvelle tactique pour FIN7. Ils ont utilisé la même tactique en 2010 lorsqu'ils ont créé une fausse société de sécurité nommée Combi Security.
Cependant, à cette époque, la société était engagée dans le déploiement de logiciels malveillants au point de vente. Ils ont utilisé Combi Security pour embaucher des agents de sécurité pour violer divers réseaux d'organisations de vente au détail, après quoi ils ont déployé des logiciels malveillants PoS dans le système pour voler les détails des cartes de crédit des clients des réseaux piratés, selon un rapport du DoJ américain.
Image : Le dossier
Brett Callow, un expert en ransomware chez Emisoft, que la décision de FIN7 de se cacher derrière Bastion Secure est susceptible d'éviter l'attention indésirable de la loi. Il a ajouté :
« Il n'est pas du tout surprenant qu'une opération de cybercriminalité tente de recruter via une fausse entreprise. Embaucher sur le dark web est problématique et risqué. Les gangs de ransomwares sont moins bien accueillis sur certains forums de cybercriminalité qu'ils ne l'étaient autrefois, et les candidats pourraient potentiellement être des agents des forces de l'ordre travaillant sous couverture.
Selon Gemini Advisory, la raison pour laquelle FIN7 s'est donné tant de mal pour créer une fausse entreprise non seulement une fois mais deux fois est liée à l'argent et aux coûts opérationnels. Ce que dit Callow a également beaucoup de sens, car l'embauche sur le dark web est risquée.
C'est sans aucun doute préoccupant, car les employés peuvent être induits en erreur quant à la nature de leur travail et ne pourront pas se rendre compte qu'ils sont soumis à un test d'intrusion.