...
🧠 Il blog è dedicato al tema vpn e sicurezza, privacy dei dati su Internet. Parliamo di tendenze attuali e notizie relative alla protezione.
GeneraleNotiziaNotizie politiche

Cybercrime Gang forma un’azienda falsa per reclutare esperti di sicurezza per attacchi informatici

11
Contenuto
FIN7 Cybercrime Group identificato come operatori Darkside Raas
Combi Secure gestito da FIN7 in precedenza

FIN7, un gruppo di hacker russo, ha creato una falsa organizzazione di sicurezza chiamata Bastion Secure all'inizio del 2021 e l'ha usata per attirare i lavoratori della sicurezza informatica, assumerli e poi indurli ad aiutare negli attacchi ransomware. La società afferma di fornire servizi di sicurezza informatica a settori pubblici e organizzazioni private in tutto il mondo.

Una divisione di Recorded Future, Gemini Advisory, ha condotto un'indagine e ha rivelato che la società è una copertura per il gruppo di hacker FIN7 che ha utilizzato il sito Web di Bastion Secure per pubblicare annunci di lavoro su vari portali di lavoro russi, desiderando reclutare lavoratori tecnologici per più posizioni.

Immagine: il record

Secondo gli annunci sul suo sito Web, FIN7 ha assunto programmatori PHP, amministratori di sistema, Python, C++ e reverse engineer.

Uno di Gemini Advisory ha attraversato l'intero processo di reclutamento per studiare l'azienda che tutte le persone che hanno presentato domanda hanno attraversato un processo di colloquio che comprende tre fasi:

Mentre il processo di intervista nel complesso sembrava un po' losco, l'ultima fase in realtà l'ha tradito. Gemini Advisory ha affermato che non c'erano documenti che autorizzassero i test di penetrazione nella 3a fase, che di solito è consuetudine.

Inoltre, i rappresentanti dell'azienda hanno chiesto ai richiedenti di utilizzare solo gli strumenti che non verranno rilevati da alcun software di sicurezza e di cercare criticamente sistemi di archiviazione di file e backup una volta che accedono alla rete dell'azienda.

Secondo i ricercatori dell'unità Gemini Advisory:

“È apparso subito chiaro che l'azienda era coinvolta in attività criminali. Il fatto che i rappresentanti di Bastion Secure fossero particolarmente interessati ai file system e ai backup indica che FIN7 era più interessato a condurre attacchi ransomware che infezioni [punti vendita]".

Un ricercatore a cui è stata offerta una posizione dalla società Bastion Secure ha analizzato gli strumenti forniti dalla società. Entrambi i toolkit Carbanak e Tirion (Lizar) sono stati precedentemente attribuiti a FIN7 ed entrambi possono essere utilizzati per distribuire ransomware e hackerare sistemi PoS. Recentemente abbiamo visto attacchi simili da parte di FIN8, FIN7 e FIN6. Nel settembre 2021, FIN8 ha nascosto le organizzazioni finanziarie statunitensi con malware.

FIN7 Cybercrime Group identificato come operatori Darkside Raas

Gli strumenti condivisi da Bastion Secure con un richiedente (membro di Gemini Advisory) erano collegati a ceppi di malware e facevano parte dell'arsenale di FIN7, come Carbanak e Lizar/Tirion. Il membro Gemini ha anche affermato che i compiti assegnati a tutti i richiedenti "corrispondevano ai passaggi presi per preparare un attacco ransomware".

Secondo Gemini Advisory, la società ha installato due ceppi di ransomware Ryuk o REvil, che hanno fatto parte degli attacchi informatici FIN7 negli ultimi anni.

Secondo i ricercatori di sicurezza di Microsoft, gli attacchi più recenti sarebbero stati implementati sul ransomware BlackMatter e DarkSide. BlackMatter ha recentemente attaccato Olympus, un gigante tecnologico, e la cooperativa di agricoltori statunitensi, New Cooperative Inc.

Inoltre, il rappresentante Microsoft Christopher Glyer e Nick Carr hanno dichiarato che FIN7 non ha solo distribuito il ransomware DarkSide, ma ha anche gestito Darkside RaaS (Ransomware-as-a-Service).

Combi Secure gestito da FIN7 in precedenza

La formazione di una società di sicurezza non era una nuova tattica per FIN7. Hanno usato la stessa tattica nel 2010, quando hanno creato una falsa società di sicurezza chiamata Combi Security.

Tuttavia, a quel tempo, la società era impegnata nella distribuzione di malware POS. Hanno utilizzato Combi Security per assumere addetti alla sicurezza per violare varie reti di organizzazioni di vendita al dettaglio, dopodiché hanno implementato malware PoS nel sistema per rubare i dettagli delle carte di credito dei clienti dalle reti violate, secondo un rapporto del Dipartimento di Giustizia degli Stati Uniti.

Immagine: il record

Brett Callow, un esperto di ransomware di Emisoft, ritiene che la decisione di FIN7 di nascondersi dietro Bastion Secure eviterà attenzioni indesiderate da parte della legge. Ha inoltre detto:

“Non sorprende affatto che un'operazione di criminalità informatica tenti di reclutare tramite una società falsa. Assumere dal dark web è problematico e rischioso. Le bande di ransomware sono meno benvenute in alcuni forum di criminalità informatica rispetto a una volta e i candidati potrebbero essere potenzialmente agenti delle forze dell'ordine che lavorano sotto copertura".

Secondo Gemini Advisory, il motivo per cui FIN7 ha fatto di tutto per creare una società falsa non solo una ma due volte ha a che fare con denaro e costi operativi. Anche quello che ha detto Callow ha molto senso, poiché assumere dal dark web è rischioso.

Non c'è dubbio che i dipendenti possano essere fuorviati sulla natura del loro lavoro e non saranno in grado di rendersi conto di essere sottoposti a test di penna.

Potrebbe piacerti anche Altri di autore
More Stories

PIA VPN Reddit – (Commenti autentici di Redditor)

Come installare l’accesso privato a Internet su…

Come annullare ipVanish e ottenere un rimborso [Guida…

1 di 444

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More