Los ciberdelincuentes tienen una nueva táctica

El grupo delictivo FIN7 ha abierto una empresa que utiliza para contratar expertos en seguridad cibernética, que en realidad ayudan a los ciberdelincuentes en los ataques de ransomware.

Bastion Secure afirma proporcionar servicios de pruebas de penetración a empresas privadas y al sector público en todo el mundo.

Pero según la investigación Aviso de Géminis, el sitio web Bastion Secure es una pantalla utilizada por el grupo FIN7 para colocar anuncios de empleo en portales de empleo rusos para expertos en ciberseguridad para varios puestos. Los anuncios revelan que FIN7 quiere contratar expertos en ingeniería inversa, administradores de sistemas, desarrolladores de C ++, Python y PHP.

Los que solicitaron pasaron por el proceso de entrevistas en tres fases. Uno de los asociados del equipo de Gemini Advisory pasó por ese proceso para averiguar cómo estaba funcionando la empresa que parecía sospechosa.

En una primera fase, el candidato es entrevistado por un responsable de recursos humanos de la empresa, y la entrevista suele realizarse a través de Telegram. Después de eso, se les pidió a los candidatos que firmaran un acuerdo de confidencialidad y configuraran su computadora instalando varias máquinas virtuales y abriendo ciertos puertos. En la segunda fase, una empresa falsa les dio a los candidatos herramientas legítimas de prueba de penetración para realizar una serie de tareas. En la última fase, los candidatos participaron en una tarea “real” en la que se les pidió que realizaran una prueba de penetración contra uno de los clientes de Bastion Secure.

Gemini Advisory dijo que este último paso en el proceso de entrevista no incluyó ningún documento legal que permitiera las pruebas de penetración, como es habitual en estos casos, ni explicaciones a los participantes de la prueba.

Los funcionarios de Bastion Secure les dijeron a los candidatos que usen solo herramientas especiales que el software de seguridad no detectará y que busquen copias de seguridad y sistemas de almacenamiento de archivos cuando estén en la red de la empresa.

Las herramientas que el asociado de Gemini que participó en la entrevista recibió de Bastion Secure están relacionadas con malware como Carbanak y Lizar / Tyrion, herramientas que alguna vez fueron parte del arsenal de FIN7. Las tareas asignadas a los candidatos al puesto “correspondían a los pasos dados para prepararse para el ataque de ransomware”, dijo Gemini Advisory.

FIN7 utilizó anteriormente ransomware, que es Ryuk o REvil, y en ataques más recientes utilizaron DarkSide y BlackMatter ransomware.

La firma de protección falsa no es nada nuevo para el grupo FIN7, que hizo lo mismo a mediados de la última década cuando tenía otra firma falsa llamada Combi Security. La única diferencia es que es el grupo en ese momento trabajaba principalmente con malware de punto de venta y usó la empresa para contratar probadores de penetración, pero para redes minoristas, y luego instalaría malware PoS para recopilado datos de tarjetas de pago de redes pirateadas.

La razón por la que FIN7 contrata asociados de esta manera, a través de una empresa falsa, son los costos, dicen los investigadores. Es más barato contratar a un experto que a otros grupos de piratas informáticos o piratas informáticos a través de foros de piratas informáticos. Tal experto en Rusia generalmente gana entre $ 800 y $ 1,200 al mes, dice Gemini Advisory, mientras que los piratas informáticos probablemente exigirían un porcentaje de los rescates pagados por las víctimas de ransomware, lo que en algunos casos significaría que los asociados del grupo ganarían millones de dólares.



Source: Informacija.rs by www.informacija.rs.

*The article has been translated based on the content of Informacija.rs by www.informacija.rs. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!