{"id":294979,"date":"2023-04-06T18:47:00","date_gmt":"2023-04-06T15:47:00","guid":{"rendered":"https:\/\/vpn.inform.click\/?p=294979"},"modified":"2023-06-20T03:34:09","modified_gmt":"2023-06-20T00:34:09","slug":"cybercrime-gang-cree-une-fausse-entreprise-pour-recruter-des-experts-en-securite-pour-les-cyberattaques","status":"publish","type":"post","link":"https:\/\/vpn.inform.click\/fr\/cybercrime-gang-cree-une-fausse-entreprise-pour-recruter-des-experts-en-securite-pour-les-cyberattaques\/","title":{"rendered":"Cybercrime Gang cr\u00e9e une fausse entreprise pour recruter des experts en s\u00e9curit\u00e9 pour les cyberattaques"},"content":{"rendered":"\n

FIN7, un groupe de piratage russe, a cr\u00e9\u00e9 une fausse organisation de s\u00e9curit\u00e9 nomm\u00e9e Bastion Secure<\/strong> au d\u00e9but de 2021 et l’a utilis\u00e9e pour attirer les travailleurs de la cybers\u00e9curit\u00e9, les embaucher, puis les inciter \u00e0 participer aux attaques de ransomwares. La soci\u00e9t\u00e9 pr\u00e9tend fournir des services de cybers\u00e9curit\u00e9 aux secteurs publics et aux organisations priv\u00e9es du monde entier.<\/p>\n

Une division Recorded Future, Gemini Advisory, a men\u00e9 une enqu\u00eate et a r\u00e9v\u00e9l\u00e9 que la soci\u00e9t\u00e9 \u00e9tait une couverture pour le groupe de piratage FIN7 qui utilisait le site Web de Bastion Secure pour publier des offres d'emploi sur divers portails d'emploi russes, souhaitant recruter des travailleurs technologiques pour plusieurs postes.<\/p>\n

Image\u00a0: Le dossier<\/p>\n

Selon les publicit\u00e9s sur son site Web, FIN7 a embauch\u00e9 des programmeurs PHP, des administrateurs syst\u00e8me, Python, C++ et des r\u00e9tro-ing\u00e9nieurs.<\/p>\n

L’un de Gemini Advisory a suivi tout le processus de recrutement pour \u00e9tudier l’entreprise que toutes les personnes qui ont postul\u00e9 sont pass\u00e9es par un processus d’entretien comprenant trois phases\u00a0:<\/p>\n

Alors que le processus d’entretien dans son ensemble semblait un peu louche, la derni\u00e8re phase l’a en fait r\u00e9v\u00e9l\u00e9. Gemini Advisory a d\u00e9clar\u00e9 qu’il n’y avait pas de documents autorisant les tests d’intrusion dans la 3e phase, ce qui est g\u00e9n\u00e9ralement habituel.<\/p>\n

De plus, les repr\u00e9sentants de l’entreprise ont demand\u00e9 aux candidats de n’utiliser que des outils qui ne seront d\u00e9tect\u00e9s par aucun logiciel de s\u00e9curit\u00e9 et de rechercher de mani\u00e8re critique les syst\u00e8mes de stockage de fichiers et les sauvegardes une fois qu’ils acc\u00e8dent au r\u00e9seau de l’entreprise.<\/p>\n

Selon les chercheurs de l’unit\u00e9 Gemini Advisory\u00a0:<\/p>\n

\n

\u00abIl est devenu imm\u00e9diatement clair que l’entreprise \u00e9tait impliqu\u00e9e dans des activit\u00e9s criminelles. Le fait que les repr\u00e9sentants de Bastion Secure s’int\u00e9ressent particuli\u00e8rement aux syst\u00e8mes de fichiers et aux sauvegardes indique que FIN7 \u00e9tait plus int\u00e9ress\u00e9 par les attaques de ransomwares que par les infections [au point de vente]."<\/p>\n<\/blockquote>\n

Un chercheur qui s’est vu offrir un poste par la soci\u00e9t\u00e9 Bastion Secure a analys\u00e9 les outils qui leur \u00e9taient fournis par la soci\u00e9t\u00e9. Les deux kits d’outils Carbanak et Tirion (Lizar) ont \u00e9t\u00e9 pr\u00e9c\u00e9demment attribu\u00e9s \u00e0 FIN7<\/strong> et les deux peuvent \u00eatre utilis\u00e9s pour d\u00e9ployer des ransomwares et pirater des syst\u00e8mes PoS. Nous avons r\u00e9cemment vu des attaques similaires par FIN8, FIN7 et FIN6. En septembre 2021, FIN8 a d\u00e9tourn\u00e9 des organisations financi\u00e8res am\u00e9ricaines avec des logiciels malveillants<\/a>.<\/p>\n

FIN7 Cybercrime Group identifi\u00e9 comme op\u00e9rateur Darkside Raas<\/h2>\n

Les outils partag\u00e9s par Bastion Secure avec un candidat (membre de Gemini Advisory) \u00e9taient li\u00e9s \u00e0 des souches de logiciels malveillants et faisaient partie de l’arsenal de FIN7, comme Carbanak et Lizar\/Tirion. Le membre Gemini a \u00e9galement d\u00e9clar\u00e9 que les t\u00e2ches assign\u00e9es \u00e0 tous les candidats "correspondaient aux mesures prises pour pr\u00e9parer une attaque de ransomware".<\/p>\n

Selon Gemini Advisory, la soci\u00e9t\u00e9 a install\u00e9 deux souches de ran\u00e7ongiciel Ryuk ou REvil<\/a><\/strong>, qui ont fait partie des cyberattaques FIN7 au cours des derni\u00e8res ann\u00e9es.<\/p>\n

Selon les chercheurs en s\u00e9curit\u00e9 de Microsoft, de nouvelles attaques auraient \u00e9t\u00e9 d\u00e9ploy\u00e9es sur les ran\u00e7ongiciels BlackMatter et DarkSide.\u00a0<\/strong>BlackMatter a r\u00e9cemment attaqu\u00e9 Olympus<\/a>, un g\u00e9ant de la technologie, et la coop\u00e9rative agricole am\u00e9ricaine New Cooperative<\/a> Inc.<\/p>\n

De plus, les repr\u00e9sentants de Microsoft Christopher Glyer et Nick Carr ont d\u00e9clar\u00e9 que FIN7 n’a pas seulement d\u00e9ploy\u00e9 le ransomware DarkSide, mais a \u00e9galement g\u00e9r\u00e9 le Darkside RaaS (Ransomware-as-a-Service).<\/p>\n

Combi Secure exploit\u00e9 par FIN7<\/h2>\n

Former une entreprise de s\u00e9curit\u00e9 n’\u00e9tait pas une nouvelle tactique pour FIN7. Ils ont utilis\u00e9 la m\u00eame tactique en 2010 lorsqu’ils ont cr\u00e9\u00e9 une fausse soci\u00e9t\u00e9 de s\u00e9curit\u00e9 nomm\u00e9e Combi Security.<\/p>\n

Cependant, \u00e0 cette \u00e9poque, la soci\u00e9t\u00e9 \u00e9tait engag\u00e9e dans le d\u00e9ploiement de logiciels malveillants au point de vente. Ils ont utilis\u00e9 Combi Security pour embaucher des agents de s\u00e9curit\u00e9 pour violer divers r\u00e9seaux d’organisations de vente au d\u00e9tail,<\/strong> apr\u00e8s quoi ils ont d\u00e9ploy\u00e9 des logiciels malveillants PoS dans le syst\u00e8me pour voler les d\u00e9tails des cartes de cr\u00e9dit des clients des r\u00e9seaux pirat\u00e9s, selon un rapport du DoJ am\u00e9ricain<\/a>.<\/p>\n<\/p>\n

Image\u00a0: Le dossier<\/p>\n

Brett Callow, un expert en ransomware chez Emisoft, que la d\u00e9cision de FIN7 de se cacher derri\u00e8re Bastion Secure est susceptible d’\u00e9viter l’attention ind\u00e9sirable de la loi. Il a ajout\u00e9 :<\/p>\n

\n

\u00ab Il n’est pas du tout surprenant qu’une op\u00e9ration de cybercriminalit\u00e9 tente de recruter via une fausse entreprise. Embaucher sur le dark web est probl\u00e9matique et risqu\u00e9. Les gangs de ransomwares sont moins bien accueillis sur certains forums de cybercriminalit\u00e9 qu’ils ne l’\u00e9taient autrefois, et les candidats pourraient potentiellement \u00eatre des agents des forces de l’ordre travaillant sous couverture.<\/p>\n<\/blockquote>\n

Selon Gemini Advisory, la raison pour laquelle FIN7 s’est donn\u00e9 tant de mal pour cr\u00e9er une fausse entreprise non seulement une fois mais deux fois est li\u00e9e \u00e0 l’argent et aux co\u00fbts op\u00e9rationnels. Ce que dit Callow a \u00e9galement beaucoup de sens, car l'embauche sur le dark web est risqu\u00e9e.<\/p>\n

C’est sans aucun doute pr\u00e9occupant, car les employ\u00e9s peuvent \u00eatre induits en erreur quant \u00e0 la nature de leur travail et ne pourront pas se rendre compte qu’ils sont soumis \u00e0 un test d’intrusion.<\/p><\/p>\n","protected":false},"excerpt":{"rendered":"

Un gang de cybercriminels, FIN7, a cr\u00e9\u00e9 une fausse entreprise plus t\u00f4t cette ann\u00e9e pour embaucher des experts en s\u00e9curit\u00e9 et des chercheurs pour aider aux attaques de ransomwares.<\/p>\n","protected":false},"author":1,"featured_media":401904,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[8587,8598,8557,8547,8577,8517,8475],"tags":[],"class_list":["post-294979","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-divers","category-fuites","category-general-2","category-nouvelles","category-nouvelles-politiques","category-protection-des-donnees","category-vpn-et-confidentialite"],"_links":{"self":[{"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/posts\/294979","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/comments?post=294979"}],"version-history":[{"count":0,"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/posts\/294979\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/media\/401904"}],"wp:attachment":[{"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/media?parent=294979"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/categories?post=294979"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/tags?post=294979"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}