FIN7, en rysk hackergrupp, startade en falsk säkerhetsorganisation vid namn Bastion Secure i början av 2021 och använde den för att locka cybersäkerhetsarbetare, anställa dem och sedan lura dem att hjälpa till med ransomware-attacker. Företaget hävdar att det tillhandahåller cybersäkerhetstjänster till offentlig sektor och privata organisationer över hela världen.
En division för Recorded Future, Gemini Advisory, genomförde en undersökning och avslöjade att företaget är en täckmantel för hackergruppen FIN7 som använde webbplatsen för Bastion Secure för att lägga upp jobbannonser på olika ryska jobbportaler, i önskan att rekrytera teknikarbetare till flera tjänster.
Bild: The Record
Enligt annonserna på sin webbplats anlitade FIN7 PHP-programmerare, systemadministratörer, Python, C++ och omvänd ingenjörer.
En av Gemini Advisory gick igenom hela rekryteringsprocessen för att studera företaget att alla personer som ansökte gick igenom en intervjuprocess inklusive tre faser:
Även om intervjuprocessen överlag verkade lite skum, gav den sista fasen faktiskt bort det. Gemini Advisory uppgav att det inte fanns några dokument som godkände penetrationstesterna i den tredje fasen, vilket vanligtvis är brukligt.
Dessutom bad företrädarna för företaget sökandena att endast använda de verktyg som inte kommer att upptäckas av någon säkerhetsprogramvara och att kritiskt leta efter fillagringssystem och säkerhetskopior när de väl kommer åt företagets nätverk.
Enligt forskarna vid Gemini Advisory unit:
"Det stod direkt klart att företaget var inblandat i kriminell verksamhet. Det faktum att Bastion Secure-representanterna var särskilt intresserade av filsystem och säkerhetskopior signalerar att FIN7 var mer intresserad av att genomföra ransomware-attacker än infektioner på [säljställe]."
En forskare som erbjöds en tjänst av företaget Bastion Secure analyserade de verktyg som de tillhandahölls av företaget. Båda verktygssatserna Carbanak och Tirion (Lizar) har tidigare tillskrivits FIN7 och båda kan användas för att distribuera ransomware och hacka PoS-system. Vi såg nyligen liknande attacker av FIN8, FIN7 och FIN6. I september 2021 backade FIN8 amerikanska finansorganisationer med skadlig programvara.
FIN7 Cybercrime Group identifierad som Darkside Raas-operatörer
Verktygen som delades av Bastion Secure med en sökande (Gemini Advisorys medlem) var kopplade till skadlig kod och har varit en del av FIN7:s arsenal, som Carbanak och Lizar/Tirion. Gemini-medlemmen sa också att uppgifterna som tilldelats alla sökande "matchade de steg som vidtagits för att förbereda en ransomware-attack."
Enligt Gemini Advisory installerade företaget två ransomware-stammar Ryuk eller REvil, som har varit en del av FIN7 cyberattacker under de senaste åren.
Enligt Microsofts säkerhetsforskare skulle nyare attacker ha implementerats på BlackMatter och DarkSide ransomware. BlackMatter har nyligen attackerat Olympus, en teknikjätte, och det amerikanska bondekooperativet New Cooperative Inc.
Dessutom förklarade Microsofts representant Christopher Glyer och Nick Carr att FIN7 inte bara distribuerade DarkSide ransomware, utan också hanterade Darkside RaaS (Ransomware-as-a-Service).
FIN7 drivit Combi Secure Tidigare
Att bilda ett säkerhetsföretag var ingen ny taktik för FIN7. De använde samma taktik redan 2010 när de startade ett falskt säkerhetsföretag vid namn Combi Security.
Men vid den tiden var företaget engagerat i att distribuera Point-of-Sale malware. De använde Combi Security för att anställa säkerhetsarbetare för att bryta mot olika nätverk av detaljhandelsorganisationer, varefter de distribuerade PoS malware i systemet för att stjäla kreditkortsuppgifter från kunder från de hackade nätverken, enligt en rapport från US DoJ.
Bild: The Record
Brett Callow, en ransomware-expert på Emisoft att FIN7:s beslut att gömma sig bakom Bastion Secure sannolikt kommer att undvika oönskad uppmärksamhet från lagen. Han sa vidare:
"Det är inte alls förvånande att en cyberbrottsverksamhet skulle försöka rekrytera via ett falskt företag. Att anställa från det mörka nätet är problematiskt och riskabelt. Ransomware-gäng är mindre välkomna på vissa cyberbrottsforum än de en gång var, och sökande kan potentiellt vara brottsbekämpande tjänstemän som arbetar undercover.”
Enligt Gemini Advisory har anledningen till att FIN7 gick så långt att skapa ett falskt företag inte bara en utan två gånger att göra med pengar och driftskostnader. Det som Callow sa är också vettigt, eftersom det är riskabelt att anställa från den mörka webben.
Det är utan tvekan oroande eftersom anställda kan vilseledas när det gäller deras jobb och inte kommer att kunna inse att de håller på att testas.