*FIN7 tenta enganar os pentesters para lançar ataques de ransomware

O grupo de hackers FIN7 está tentando se juntar ao espaço altamente lucrativo de ransomware criando falsas empresas de segurança cibernética que conduzem ataques de rede sob o pretexto de pentesting.

FIN7 (também conhecido como 'Carbanak') está envolvido em ataques cibernéticos e campanhas de roubo de dinheiro desde 2015, quando eles apareceram pela primeira vez no espaço do crime cibernético, incluindo a  infecção de caixas eletrônicos com malware habilitado para MITM .

Como o ransomware se tornou um campo lucrativo para cibercriminosos, e tendo experiência anterior com falsas empresas de fachada como a " Combi Security ", o grupo criou uma nova empresa para atrair especialistas legítimos de TI.

O tênue véu de legitimidade em torno dessa nova entidade corporativa foi levantado por pesquisadores da  Gemini Advisory , que descobriram que o site de uma falsa empresa de segurança cibernética conhecida como Bastion Security era composto de conteúdo roubado e recompilado de outros sites.

Ainda mais revelador é que a empresa afirma que está sediada na Inglaterra, mas o site exibe páginas de erro 404 em russo.

A página 'Sobre' da Bastion Secure também afirma ser um spinoff da legítima empresa de segurança cibernética Convergent Network Solutions Ltd.

A BleepingComputer contatou a Convergent Network Solutions para ver se eles sabiam do site, mas não obtiveram resposta.

Os pesquisadores da Gemini descobriram que o FIN7 estava oferecendo entre US $ 800 e US $ 1.200 por mês para recrutar programadores C ++, PHP e Python, administradores de sistema Windows e especialistas em engenharia reversa, seguindo dicas de uma fonte não identificada.

Nos requisitos do trabalho, os pesquisadores acreditam que o grupo de hackers estava procurando contratar pentesters, já que os administradores de sistema também teriam a capacidade de mapear sistemas corporativos comprometidos, realizar reconhecimento de rede e localizar servidores e arquivos de backup.

 

Todas essas habilidades são necessárias para os estágios de pré-criptografia de ataques de ransomware, então parece que é isso que FIN7 está buscando nessas rodadas de contratação.

Pesquisadores se candidatam a um emprego

A fonte da Gemini enviou uma candidatura ao Bastion Secure como candidato a emprego e foi contratada, tendo acesso a ferramentas internas.

Essas ferramentas eram as conhecidas ferramentas de pós-exploração Carbanak e Lizar / Tirion, disfarçadas como "Gerenciador de Comando".


Como tal, a atribuição ao FIN7 é bastante forte, embora o código-fonte de algumas dessas ferramentas tenha  vazado publicamente há dois anos .

A amostra analisada de Carbanak parece ser uma versão atualizada, portanto, as chances de outra pessoa usar a ferramenta vazada para trabalhar mais nela são mínimas.

Outra evidência é que o software foi supostamente licenciado para "CheckPoint Software Inc", a renomada empresa de segurança israelense, que FIN7 disfarçou como em  outros ataques recentes .

O processo de contratação foi bastante típico, envolvendo entrevista, assinatura de contratos e acordos de sigilo e treinamento básico.

No entanto, ao realizar uma tarefa real, ficou claro que o Bastion Secure estava procurando alguém para realizar atividades cibercriminosas.

Eles forneceram acesso à rede de uma empresa, apresentando-a como um cliente que solicitou serviços de pentesting e pediram ao novo funcionário para coletar informações relevantes para contas de administrador, backups, etc.

No entanto, FIN7 não forneceu qualquer documentação legal para essa atividade de pentesting, então a fonte da Gemini percebeu que eles provavelmente estavam morando dentro de uma empresa vitimada usando acesso obtido por meios ilegais.

Ao criar falsas firmas de segurança cibernética para realizar ataques, a Gemini acredita que é uma tentativa de contratar mão de obra barata, em vez de fazer parceria com afiliados que exigem uma parcela muito maior de 70-80% dos resgates pagos.

 

Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.

Post a Comment