O FIN7, um grupo de hackers russo, criou uma organização de segurança falsa chamada Bastion Secure no início de 2021 e a usou para atrair trabalhadores de segurança cibernética, contratá-los e enganá-los para ajudar em ataques de ransomware. A empresa afirma fornecer serviços de segurança cibernética para setores públicos e organizações privadas em todo o mundo.
Uma divisão da Recorded Future, Gemini Advisory, conduziu uma investigação e revelou que a empresa é um disfarce para o grupo de hackers FIN7 que usou o site da Bastion Secure para publicar anúncios de emprego em vários portais de empregos russos, desejando recrutar trabalhadores de tecnologia para vários cargos.
Imagem: O Registro
De acordo com os anúncios em seu site, o FIN7 contratou programadores PHP, administradores de sistema, Python, C++ e engenheiros reversos.
Uma das Gemini Advisory passou por todo o processo de recrutamento para estudar a empresa que todas as pessoas que se candidataram passaram por um processo de entrevista incluindo três fases:
Embora o processo de entrevista em geral parecesse um pouco obscuro, a última fase realmente o entregou. A Gemini Advisory afirmou que não havia documentos autorizando os testes de penetração na 3ª fase, o que costuma ser costumeiro.
Além disso, os representantes da empresa pediram aos requerentes que usem apenas as ferramentas que não serão detectadas por nenhum software de segurança e que procurem criticamente sistemas de armazenamento de arquivos e backups assim que acessarem a rede da empresa.
De acordo com os pesquisadores da unidade Gemini Advisory:
“Ficou imediatamente claro que a empresa estava envolvida em atividades criminosas. O fato de que os representantes do Bastion Secure estavam particularmente interessados em sistemas de arquivos e backups indica que o FIN7 estava mais interessado em realizar ataques de ransomware do que infecções [no ponto de venda]".
Um pesquisador que foi oferecido um cargo pela empresa Bastion Secure analisou as ferramentas que foram fornecidas pela empresa. Ambos os kits de ferramentas Carbanak e Tirion (Lizar) foram anteriormente atribuídos ao FIN7 e ambos podem ser usados para implantar ransomware e hackear sistemas PoS. Recentemente, vimos ataques semelhantes de FIN8, FIN7 e FIN6. Em setembro de 2021, o FIN8 fez backdoor nas organizações financeiras dos EUA com malware.
FIN7 Cybercrime Group identificado como Darkside Raas Operators
As ferramentas que foram compartilhadas pelo Bastion Secure com um candidato (membro do Gemini Advisory) estavam ligadas a cepas de malware e fizeram parte do arsenal do FIN7, como Carbanak e Lizar/Tirion. O membro do Gemini também disse que as tarefas atribuídas a todos os candidatos “corresponderam às etapas tomadas para preparar um ataque de ransomware".
De acordo com a Gemini Advisory, a empresa instalou duas variedades de ransomware Ryuk ou REvil, que fizeram parte dos ataques cibernéticos FIN7 nos últimos anos.
De acordo com os pesquisadores de segurança da Microsoft, ataques mais recentes teriam sido implantados no ransomware BlackMatter e DarkSide. A BlackMatter atacou recentemente a Olympus, uma gigante da tecnologia, e a cooperativa de agricultores dos EUA, New Cooperative Inc.
Além disso, o representante da Microsoft Christopher Glyer e Nick Carr declararam que o FIN7 não apenas implantou o ransomware DarkSide, mas também gerenciou o Darkside RaaS (Ransomware-as-a-Service).
FIN7 operado Combi Secure Anteriormente
Formar uma empresa de segurança não era uma tática nova para o FIN7. Eles usaram a mesma tática em 2010, quando montaram uma empresa de segurança falsa chamada Combi Security.
No entanto, naquela época, a empresa estava envolvida na implantação de malware no ponto de venda. Eles usaram o Combi Security para contratar funcionários de segurança para violar várias redes de organizações de varejo, após o que implantaram malware PoS no sistema para roubar detalhes de cartão de crédito de clientes das redes invadidas, de acordo com um relatório do US DoJ.
Imagem: O Registro
Brett Callow, especialista em ransomware da Emisoft, que a decisão do FIN7 de se esconder atrás do Bastion Secure provavelmente evitará atenção indesejada da lei. Ele ainda disse:
“Não surpreende que uma operação de cibercrime tente recrutar por meio de uma empresa falsa. Contratar na dark web é problemático e arriscado. Gangues de ransomware são menos bem-vindas em certos fóruns de crimes cibernéticos do que antes, e os candidatos podem ser policiais trabalhando disfarçados.”
De acordo com a Gemini Advisory, a razão pela qual o FIN7 chegou ao ponto de criar uma empresa falsa não apenas uma, mas duas vezes tem a ver com dinheiro e custos operacionais. O que Callow disse também faz muito sentido, já que contratar na dark web é arriscado.
Não há dúvida de que os funcionários podem ser enganados quanto à natureza de seu trabalho e não serão capazes de perceber que estão sendo testados.