FIN7 создала фиктивную ИБ-компанию с целью найма экспертов якобы для проведения пентестов.
Похоже, что киберпреступная группировка FIN7 пытается найти новый источник дохода, влившись в ряды хакеров, промышляющих вымогательскими атаками. В частности, FIN7 создала фиктивную ИБ-компанию с целью найма экспертов по кибербезопасности якобы для проведения тестирования на проникновения, но на деле – для осуществления вымогательских атак.
Согласно расследованию специалистов Gemini Advisory (подразделения ИБ-компании Recorded Future), группировка размещала объявления о найме на сайте компании под названием Bastion Secure, якобы специализирующейся на предоставлении услуг пентестинга компаниям и организациям по всему миру. «Компанию» интересовали специалисты в области реверс-инжиниринга, системные администраторы, программисты со знанием C++, Python и PHP. Предлагаемая зарплата составляла от $800 до $1200 в месяц.
Gemini Advisory удалось получить представление о работе Bastion Secure с помощью «инсайдера». Как выяснилось, соискателям на должность предлагалось пройти трехэтапное собеседование, которое, однако, не включало никаких объяснений или юридических документов, санкционирующих тесты на проникновение.
В практической части претендентам разрешалось использовать только определенные инструменты, не обнаруживаемые защитными решениями, и искать резервные копии и файловые системы хранения данных в сети компании. При этом поставленные задачи «совпадали с шагами, предпринимаемыми при подготовке вымогательских атак». В ходе атак устанавливалось вымогательское ПО Ryuk или REvil, говорят специалисты.
Предлагаемые инструменты для пробного тестирования включали вредоносы Carbanak и Lizar/Tirion, которые ИБ-эксперты связывают с атаками FIN7.
Группировка не впервые использует фиктивные компании для привлечения специалистов. К примеру, несколько лет назад FIN7 создала компанию под названием Combi Security, которая искала пентестеров для взлома сетей компаний и установки вредоносного ПО на PoS-терминалы.
Хотя создание и управление фиктивной компаний – трудоемкий процесс, нанять ИБ-эксперта обойдется FIN7 гораздо дешевле, чем сотрудничество с хакерами или хакерскими группировками, привлеченными через киберпреступные форумы, которые наверняка потребуют долю от доходов от вымогательских атак, пояснили исследователи.
Ладно, не доказали. Но мы работаем над этим