...
🧠 Blog poświęcony jest tematowi VPN i bezpieczeństwa, prywatności danych w Internecie. Rozmawiamy o aktualnych trendach i nowościach związanych z ochroną.
AktualnościOchrona danychOgólny

Cyberprzestępczy gang tworzy fałszywą firmę, aby rekrutować ekspertów ds. bezpieczeństwa do cyberataków

5
Zadowolony
FIN7 Cyberprzestępcza grupa zidentyfikowana jako operatorzy Darkside Raas
FIN7 obsługiwane Combi Secure Wcześniej

FIN7, rosyjska grupa hakerska, założyła fałszywą organizację bezpieczeństwa o nazwie Bastion Secure na początku 2021 roku i wykorzystała ją do zwabienia pracowników cyberbezpieczeństwa, zatrudnienia ich, a następnie nakłonienia ich do pomocy w atakach ransomware. Firma twierdzi, że świadczy usługi cyberbezpieczeństwa sektorom publicznym i organizacjom prywatnym na całym świecie.

Dział Recorded Future, Gemini Advisory, przeprowadził dochodzenie i ujawnił, że firma jest przykrywką dla grupy hakerskiej FIN7, która korzystała ze strony internetowej Bastion Secure do zamieszczania ogłoszeń o pracę na różnych rosyjskich portalach z ofertami pracy, chcąc rekrutować pracowników technologicznych na różne stanowiska.

Obraz: Rekord

Zgodnie z ogłoszeniami na swojej stronie internetowej FIN7 zatrudnił programistów PHP, administratorów systemów, Pythona, C++ i inżynierów wstecznych.

Jeden z Gemini Advisory przeszedł przez cały proces rekrutacji, aby zbadać firmę, czy wszystkie osoby, które się zgłosiły, przeszły proces rekrutacyjny obejmujący trzy fazy:

Chociaż cały proces wywiadu wydawał się nieco podejrzany, ostatnia faza faktycznie go zdradziła. Firma Gemini Advisory stwierdziła, że ​​nie ma dokumentów upoważniających do przeprowadzania testów penetracyjnych w III fazie, co jest zwykle zwyczajem.

Co więcej, przedstawiciele firmy poprosili wnioskodawców, aby korzystali wyłącznie z narzędzi, które nie zostaną wykryte przez żadne oprogramowanie zabezpieczające oraz do krytycznego poszukiwania systemów przechowywania plików i kopii zapasowych po uzyskaniu dostępu do sieci firmy.

Według badaczy z jednostki doradczej Gemini:

„Od razu stało się jasne, że firma była zaangażowana w działalność przestępczą. Fakt, że przedstawiciele Bastion Secure byli szczególnie zainteresowani systemami plików i kopiami zapasowymi, wskazuje, że FIN7 był bardziej zainteresowany przeprowadzaniem ataków ransomware niż infekcjami [punktów sprzedaży]".

Badacz, któremu stanowisko zaproponowała firma Bastion Secure, przeanalizował narzędzia, które firma im dostarczyła. Oba zestawy narzędzi Carbanak i Tirion (Lizar) zostały wcześniej przypisane do FIN7 i oba mogą być używane do wdrażania oprogramowania ransomware i hakowania systemów PoS. Ostatnio widzieliśmy podobne ataki FIN8, FIN7 i FIN6. We wrześniu 2021 r. FIN8 wpuścił tylne drzwi amerykańskie organizacje finansowe za pomocą złośliwego oprogramowania.

FIN7 Cyberprzestępcza grupa zidentyfikowana jako operatorzy Darkside Raas

Narzędzia udostępnione przez Bastion Secure wnioskodawcy (członkowi Gemini Advisory) były powiązane ze szczepami złośliwego oprogramowania i były częścią arsenału FIN7, jak Carbanak i Lizar/Tirion. Członek Gemini powiedział również, że zadania przydzielone wszystkim wnioskodawcom „odpowiadały krokom podjętym w celu przygotowania ataku ransomware”.

Według Gemini Advisory firma zainstalowała dwie odmiany oprogramowania ransomware Ryuk lub REvil, które były częścią cyberataków FIN7 w ciągu ostatnich kilku lat.

Według badaczy bezpieczeństwa Microsoftu, nowsze ataki zostałyby wdrożone na ransomware BlackMatter i DarkSide. BlackMatter niedawno zaatakował Olympus, giganta technologicznego, i amerykańską spółdzielnię rolników New Cooperative Inc.

Ponadto przedstawiciele Microsoftu Christopher Glyer i Nick Carr oświadczyli, że FIN7 nie tylko wdrożył oprogramowanie ransomware DarkSide, ale także zarządzał Darkside RaaS (Ransomware-as-a-Service).

FIN7 obsługiwane Combi Secure Wcześniej

Założenie firmy ochroniarskiej nie było nową taktyką dla FIN7. Wykorzystali tę samą taktykę w 2010 roku, kiedy założyli fałszywą firmę ochroniarską o nazwie Combi Security.

Jednak w tym czasie firma była zaangażowana we wdrażanie złośliwego oprogramowania w punktach sprzedaży. Wykorzystali Combi Security, aby zatrudnić pracowników ochrony w celu włamania się do różnych sieci organizacji handlu detalicznego, po czym wdrożyli do systemu złośliwe oprogramowanie PoS, aby wykraść dane kart kredytowych klientów ze zhakowanych sieci, zgodnie z raportem US DoJ.

Obraz: Rekord

Brett Callow, ekspert od ransomware w Emisoft, twierdzi, że decyzja FIN7 o ukryciu się za Bastion Secure prawdopodobnie pozwoli uniknąć niepożądanej uwagi ze strony prawa. Powiedział dalej:

„Wcale nie dziwi fakt, że cyberprzestępcza próba rekrutacji odbywa się za pośrednictwem fałszywej firmy. Zatrudnianie w ciemnej sieci jest problematyczne i ryzykowne. Gangi ransomware są mniej mile widziane na niektórych forach cyberprzestępczych niż kiedyś, a kandydaci mogą potencjalnie być funkcjonariuszami organów ścigania pracującymi pod przykrywką”.

Według Gemini Advisory, powód, dla którego FIN7 dołożył wszelkich starań, aby stworzyć fałszywą firmę nie tylko raz, ale dwa, ma związek z pieniędzmi i kosztami operacyjnymi. To, co powiedział Callow, również ma sens, ponieważ zatrudnianie z ciemnej sieci jest ryzykowne.

Nie ma wątpliwości, że pracownicy mogą być wprowadzani w błąd co do charakteru ich pracy i nie będą w stanie zorientować się, że są poddawani testom piórowym.

Może Ci się spodobać Więcej od autora
Więcej wpisów

PIA VPN Reddit – (Autentyczne komentarze…

Jak zainstalować prywatny dostęp do Internetu w Kodi —…

Jak anulować ipVanish i uzyskać zwrot pieniędzy…

1 z 448

Ta strona korzysta z plików cookie, aby poprawić Twoje wrażenia. Zakładamy, że nie masz nic przeciwko, ale możesz zrezygnować, jeśli chcesz. Akceptuję Więcej szczegółów