La pandilla de delitos cibernéticos motivada financieramente FIN7 se hizo pasar por otra compañía de seguridad cibernética ficticia llamada «Bastion Secure» para reclutar ingenieros de software ignorantes con el pretexto de realizar pruebas de penetración en un posible esquema de ransomware.
«Con la última empresa falsa FIN7, el grupo criminal ha utilizado información veraz y disponible públicamente de varias empresas legítimas de seguridad cibernética para crear un velo delgado de legitimidad en torno a Bastion Secure», dijo el informe Gemini Advisory de Recorded Future. «FIN7 usa tácticas de desinformación, por lo que si una posible parte contratada o interesada verificó Bastion Secure, una búsqueda rápida en Google arrojaría información» verdadera «sobre compañías con un nombre o industria similar a Bastion Secure de FIN7».
FIN7, también conocido como Carbanak, Carbon Spider y Anunak, ha tenido una serie de ataques en las industrias de restaurantes, juegos de azar y hospitalidad de EE. UU., que han infectado los sistemas de puntos de venta (POS) con números de tarjetas de crédito y débito. que luego se utilizan o venden con fines lucrativos en mercados clandestinos. Los últimos desarrollos muestran la expansión del grupo hacia ransomware altamente rentable.
El establecimiento de compañías de fachada falsas es una fórmula comprobada para FIN7, que anteriormente se asoció con otra firma de ciberseguridad falsa llamada Combi Security, que afirmaba ofrecer a los clientes servicios de pruebas de penetración. Bajo esta luz, Bastion Secure es una continuación de esta táctica.
El nuevo sitio web no solo contiene contenido robado compilado de otras compañías legítimas de seguridad cibernética, principalmente Convergent Network Solutions, sino que los operadores han anunciado oportunidades de contratación aparentemente reales para programadores, administradores de sistemas e ingenieros inversos de C ++, PHP y Python en escritorios populares que les ofrecen varias herramientas para practicar tareas durante el proceso de la entrevista.
Estas herramientas se analizaron y se encontró que formaban parte de los kits de herramientas Carbanak y Lizar/Tirion posteriores a la explotación, ambos asignados previamente al grupo y se pueden usar para comprometer los sistemas POS e implementar ransomware.
Sin embargo, en la siguiente fase del proceso de reclutamiento, Bastion Secure estuvo involucrado en el crimen, con representantes de la compañía brindando acceso a la red de la llamada compañía cliente y solicitando a los candidatos potenciales que recopilaran información sobre administradores de dominio, sistemas de archivos y copias de seguridad, señalando una fuerte propensión a llevar a cabo ataques de ransomware.
«Las ofertas de trabajo de Bastion Secure para puestos de especialistas en TI oscilaban entre $ 800 y $ 1,200 por mes, que es un salario inicial real para este tipo de puesto en los países postsoviéticos», dijeron los investigadores. «Sin embargo, este ‘salario’ representaría una pequeña fracción de la participación de los ciberdelincuentes en las ganancias de la extorsión de chantaje exitosa o las operaciones de robo de tarjetas de pago a gran escala».
Al pagar a «empleados» ignorantes mucho menos de lo que tendrían que pagar a cómplices criminales informados por sus programas de ransomware, […] El esquema falso de FIN7 permite a los operadores de FIN7 adquirir el talento que el grupo necesita para llevar a cabo su crimen, mientras retiene una mayor parte de las ganancias”, agregaron los investigadores.
Además de pretender ser una entidad legal, el siguiente paso que ha dado el actor para agregar un anillo de autenticidad es el hecho de que una de las direcciones de las oficinas de la compañía es la misma que la dirección de la ya desaparecida compañía británica Bastion Security (North ) Limitado. Desde entonces, navegadores web como Apple Safari y Google Chrome han bloqueado el acceso al sitio engañoso.
«Aunque los ciberdelincuentes están buscando cómplices inconscientes en trabajos legítimos, no hay nada nuevo, la gran escala y la desvergüenza con la que FIN7 continúa superando a otros grupos de ciberdelincuentes», dijeron los investigadores. sitios web de aspecto legítimo, ofertas de trabajo y sitios de información corporativa en sitios web de desarrollo empresarial en ruso».
