{"id":292186,"date":"2023-04-06T18:47:00","date_gmt":"2023-04-06T15:47:00","guid":{"rendered":"https:\/\/vpn.inform.click\/?p=292186"},"modified":"2023-06-20T03:34:12","modified_gmt":"2023-06-20T00:34:12","slug":"cyberbrottsgang-bildar-ett-falskt-foretag-for-att-rekrytera-sakerhetsexperter-for-cyberattacker","status":"publish","type":"post","link":"https:\/\/vpn.inform.click\/sv\/cyberbrottsgang-bildar-ett-falskt-foretag-for-att-rekrytera-sakerhetsexperter-for-cyberattacker\/","title":{"rendered":"Cyberbrottsg\u00e4ng bildar ett falskt f\u00f6retag f\u00f6r att rekrytera s\u00e4kerhetsexperter f\u00f6r cyberattacker"},"content":{"rendered":"\n

FIN7, en rysk hackergrupp, startade en falsk s\u00e4kerhetsorganisation vid namn Bastion Secure<\/strong> i b\u00f6rjan av 2021 och anv\u00e4nde den f\u00f6r att locka cybers\u00e4kerhetsarbetare, anst\u00e4lla dem och sedan lura dem att hj\u00e4lpa till med ransomware-attacker. F\u00f6retaget h\u00e4vdar att det tillhandah\u00e5ller cybers\u00e4kerhetstj\u00e4nster till offentlig sektor och privata organisationer \u00f6ver hela v\u00e4rlden.<\/p>\n

En division f\u00f6r Recorded Future, Gemini Advisory, genomf\u00f6rde en unders\u00f6kning och avsl\u00f6jade att f\u00f6retaget \u00e4r en t\u00e4ckmantel f\u00f6r hackergruppen FIN7 som anv\u00e4nde webbplatsen f\u00f6r Bastion Secure f\u00f6r att l\u00e4gga upp jobbannonser p\u00e5 olika ryska jobbportaler, i \u00f6nskan att rekrytera teknikarbetare till flera tj\u00e4nster.<\/p>\n

Bild: The Record<\/p>\n

Enligt annonserna p\u00e5 sin webbplats anlitade FIN7 PHP-programmerare, systemadministrat\u00f6rer, Python, C++ och omv\u00e4nd ingenj\u00f6rer.<\/p>\n

En av Gemini Advisory gick igenom hela rekryteringsprocessen f\u00f6r att studera f\u00f6retaget att alla personer som ans\u00f6kte gick igenom en intervjuprocess inklusive tre faser:<\/p>\n

\u00c4ven om intervjuprocessen \u00f6verlag verkade lite skum, gav den sista fasen faktiskt bort det. Gemini Advisory uppgav att det inte fanns n\u00e5gra dokument som godk\u00e4nde penetrationstesterna i den tredje fasen, vilket vanligtvis \u00e4r brukligt.<\/p>\n

Dessutom bad f\u00f6retr\u00e4darna f\u00f6r f\u00f6retaget s\u00f6kandena att endast anv\u00e4nda de verktyg som inte kommer att uppt\u00e4ckas av n\u00e5gon s\u00e4kerhetsprogramvara och att kritiskt leta efter fillagringssystem och s\u00e4kerhetskopior n\u00e4r de v\u00e4l kommer \u00e5t f\u00f6retagets n\u00e4tverk.<\/p>\n

Enligt forskarna vid Gemini Advisory unit:<\/p>\n

\n

"Det stod direkt klart att f\u00f6retaget var inblandat i kriminell verksamhet. Det faktum att Bastion Secure-representanterna var s\u00e4rskilt intresserade av filsystem och s\u00e4kerhetskopior signalerar att FIN7 var mer intresserad av att genomf\u00f6ra ransomware-attacker \u00e4n infektioner p\u00e5 [s\u00e4ljst\u00e4lle]."<\/p>\n<\/blockquote>\n

En forskare som erbj\u00f6ds en tj\u00e4nst av f\u00f6retaget Bastion Secure analyserade de verktyg som de tillhandah\u00f6lls av f\u00f6retaget. B\u00e5da verktygssatserna Carbanak och Tirion (Lizar) har tidigare tillskrivits FIN7<\/strong> och b\u00e5da kan anv\u00e4ndas f\u00f6r att distribuera ransomware och hacka PoS-system. Vi s\u00e5g nyligen liknande attacker av FIN8, FIN7 och FIN6. I september 2021 backade FIN8 amerikanska finansorganisationer med skadlig programvara<\/a>.<\/p>\n

FIN7 Cybercrime Group identifierad som Darkside Raas-operat\u00f6rer<\/h2>\n

Verktygen som delades av Bastion Secure med en s\u00f6kande (Gemini Advisorys medlem) var kopplade till skadlig kod och har varit en del av FIN7:s arsenal, som Carbanak och Lizar\/Tirion. Gemini-medlemmen sa ocks\u00e5 att uppgifterna som tilldelats alla s\u00f6kande "matchade de steg som vidtagits f\u00f6r att f\u00f6rbereda en ransomware-attack."<\/p>\n

Enligt Gemini Advisory installerade f\u00f6retaget tv\u00e5 ransomware-stammar Ryuk eller REvil<\/a><\/strong>, som har varit en del av FIN7 cyberattacker under de senaste \u00e5ren.<\/p>\n

Enligt Microsofts s\u00e4kerhetsforskare skulle nyare attacker ha implementerats p\u00e5 BlackMatter och DarkSide ransomware.\u00a0<\/strong>BlackMatter har nyligen attackerat Olympus<\/a>, en teknikj\u00e4tte, och det amerikanska bondekooperativet New Cooperative<\/a> Inc.<\/p>\n

Dessutom f\u00f6rklarade Microsofts representant Christopher Glyer och Nick Carr att FIN7 inte bara distribuerade DarkSide ransomware, utan ocks\u00e5 hanterade Darkside RaaS (Ransomware-as-a-Service).<\/p>\n

FIN7 drivit Combi Secure Tidigare<\/h2>\n

Att bilda ett s\u00e4kerhetsf\u00f6retag var ingen ny taktik f\u00f6r FIN7. De anv\u00e4nde samma taktik redan 2010 n\u00e4r de startade ett falskt s\u00e4kerhetsf\u00f6retag vid namn Combi Security.<\/p>\n

Men vid den tiden var f\u00f6retaget engagerat i att distribuera Point-of-Sale malware. De anv\u00e4nde Combi Security f\u00f6r att anst\u00e4lla s\u00e4kerhetsarbetare f\u00f6r att bryta mot olika n\u00e4tverk av detaljhandelsorganisationer,<\/strong> varefter de distribuerade PoS malware i systemet f\u00f6r att stj\u00e4la kreditkortsuppgifter fr\u00e5n kunder fr\u00e5n de hackade n\u00e4tverken, enligt en rapport fr\u00e5n US DoJ<\/a>.<\/p>\n<\/p>\n

Bild: The Record<\/p>\n

Brett Callow, en ransomware-expert p\u00e5 Emisoft att FIN7:s beslut att g\u00f6mma sig bakom Bastion Secure sannolikt kommer att undvika o\u00f6nskad uppm\u00e4rksamhet fr\u00e5n lagen. Han sa vidare:<\/p>\n

\n

"Det \u00e4r inte alls f\u00f6rv\u00e5nande att en cyberbrottsverksamhet skulle f\u00f6rs\u00f6ka rekrytera via ett falskt f\u00f6retag. Att anst\u00e4lla fr\u00e5n det m\u00f6rka n\u00e4tet \u00e4r problematiskt och riskabelt. Ransomware-g\u00e4ng \u00e4r mindre v\u00e4lkomna p\u00e5 vissa cyberbrottsforum \u00e4n de en g\u00e5ng var, och s\u00f6kande kan potentiellt vara brottsbek\u00e4mpande tj\u00e4nstem\u00e4n som arbetar undercover.”<\/p>\n<\/blockquote>\n

Enligt Gemini Advisory har anledningen till att FIN7 gick s\u00e5 l\u00e5ngt att skapa ett falskt f\u00f6retag inte bara en utan tv\u00e5 g\u00e5nger att g\u00f6ra med pengar och driftskostnader. Det som Callow sa \u00e4r ocks\u00e5 vettigt, eftersom det \u00e4r riskabelt att anst\u00e4lla fr\u00e5n den m\u00f6rka webben.<\/p>\n

Det \u00e4r utan tvekan oroande eftersom anst\u00e4llda kan vilseledas n\u00e4r det g\u00e4ller deras jobb och inte kommer att kunna inse att de h\u00e5ller p\u00e5 att testas.<\/p><\/p>\n","protected":false},"excerpt":{"rendered":"

Ett cyberbrottsg\u00e4ng, FIN7, startar ett falskt f\u00f6retag tidigare i \u00e5r f\u00f6r att anlita s\u00e4kerhetsexperter och forskare f\u00f6r att hj\u00e4lpa till med ransomware-attacker.<\/p>\n","protected":false},"author":1,"featured_media":401904,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[8563,8523,8593,8604,8553,8583,8481],"tags":[],"class_list":["post-292186","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allman","category-dataskydd","category-diverse","category-lackor","category-nyheter","category-politiska-nyheter","category-vpn-och-integritet"],"_links":{"self":[{"href":"https:\/\/vpn.inform.click\/sv\/wp-json\/wp\/v2\/posts\/292186","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vpn.inform.click\/sv\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vpn.inform.click\/sv\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/sv\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/sv\/wp-json\/wp\/v2\/comments?post=292186"}],"version-history":[{"count":0,"href":"https:\/\/vpn.inform.click\/sv\/wp-json\/wp\/v2\/posts\/292186\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/sv\/wp-json\/wp\/v2\/media\/401904"}],"wp:attachment":[{"href":"https:\/\/vpn.inform.click\/sv\/wp-json\/wp\/v2\/media?parent=292186"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vpn.inform.click\/sv\/wp-json\/wp\/v2\/categories?post=292186"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vpn.inform.click\/sv\/wp-json\/wp\/v2\/tags?post=292186"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}