Sajber kriminalci imaju novu taktiku - evo kako i zašto preko lažnih firmi zapošljavaju stručnjake za bezbednost

Vesti, 22.10.2021, 11:00 AM

Sajber kriminalci imaju novu taktiku - evo kako i zašto preko lažnih firmi zapošljavaju stručnjake za bezbednost

Kriminalna grupa FIN7 otvorila je firmu koju koristi za angažovanje stručnjaka za sajber bezbednost, koji na prevaru sajber-kriminalcima zapravo pomažu u napadima ransomwarea.

Firma “Bastion Secure” tvrdi da pruža usluge testiranja penetracije za privatne kompanije i javni sektor širom sveta.

Ali prema istraživanju Gemini Advisory, veb sajt firme Bastion Secure je paravan koji grupa FIN7 koristi da bi na ruskim portalima za zapošljavanje postavljala oglase za posao za stručnjake za sajber bezbednost za različite pozicije. Oglasi otkrivaju da FIN7 želi da angažuje stručnjake za reverzni inžinjering, sistem administratore, C++, Python i PHP programere.

Oni koji su se prijavili prošli su kroz proces intervjuisanja u tri faze. Jedan od saradnika Gemini Advisory tima prošao je kroz taj proces kako bi saznao kako funkcioniše firma koja se učinila sumnjivom.

U prvoj fazi, kandidata intervjuiše neko iz firme ko je zadužen za ljudske resurse, a razgovor se obično obavlja preko Telegrama. Nakon toga, kandidatima je rečeno da potpišu ugovor o tajnosti podataka i konfigurišu svoj računar instaliranjem nekoliko virtuelnih mašina i otvaranjem određenih portova. U drugoj fazi, kandidati su od lažne firme dobili legitimne alate za testiranje penetracije kako bi obavili niz zadataka. U poslednjoj fazi, kandidati su učestvovali u „pravom“ zadatku gde im je rečeno da sprovedu test penetracije protiv jednog od klijenata Bastion Securea.

Gemini Advisory je rekao da ovaj poslednji korak u procesu intervjuisanja nije uključivao bilo kakav pravni dokument koji dozvoljava testove penetracije, kao što je uobičajeno u takvim slučajevima, niti objašnjenja učesnicima testiranja.

Predstavnici Bastion Securea su rekli kandidatima da koriste samo posebne alate koje sigurnosni softver neće otkriti i da traže rezervne kopije i sisteme za skladištenje fajlova kad se nađu u mreži kompanije.

Alati koje je od Bastion Securea dobio Geminijev saradnik koji je učestvovao u intervjuu povezani su sa malverima poput Carbanak i Lizar/Tirion, alata koji su nekada bili deo arsenala grupe FIN7. Zadaci koje su dobili kandidati za posao „odgovarali su koracima preduzetim za pripremu napada ransomwera“, rekao je Gemini Advisory.

FIN7 je ranije koristio ransomware što je Ryuk ili REvil, a u novijim napadima primenjivali su DarkSide i BlackMatter ransomware.

Lažna firma za zaštitu nije novost za grupu FIN7, koja je uradila istu stvar sredinom protekle decenije kada je imala drugu lažnu firmu pod nazivom Combi Security. Razlika je samo u tome što je grupa u to vreme prvenstveno radila sa Point-of-Sale malverima a firmu je koristila za angažovanje testera penetracije ali za mreže maloprodaja, a zatim bi instalirala PoS malver da bi prikupljala podatke o platnim karticama sa hakovanih mreža.

Razlog zašto FIN7 na ovakav način angažuje saradnike, preko lažne firme, su troškovi, kažu istraživači. Jeftinije je angažovati stručnjaka nego druge hakerske grupe ili hakere preko hakerskih foruma. Takav stručnjak u Rusiji obično zarađuje između 800 i 1.200 dolara mesečno, kaže Gemini Advisory, dok bi hakeri verovatno tražili procenat od otkupa koji plaćaju žrtve ransomwarea, što u nekim slučajevima znači da bi saradnici grupe zaradili milione dolara.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

NSO Grupa priznala da je njihov softver za nadzor koristilo najmanje pet evropskih zemalja

NSO Grupa priznala da je njihov softver za nadzor koristilo najmanje pet evropskih zemalja

Izraelski proizvođač softvera za nadzor NSO Grupa priznao je ove nedelje evropskim zakonodavcima da je njihov softver Pegaz koristilo najmanje pet z... Dalje

Google Chrome ekstenzije se mogu koristiti za praćenje korisnika

Google Chrome ekstenzije se mogu koristiti za praćenje korisnika

Programer „z0ccc“ napravio je veb sajt (https://z0ccc.github.io/extension-fingerprints/) dizajniran da generiše „otisak prsta&ldquo... Dalje

Popularni WordPress dodatak hitno ažuriran zbog hakerskih napada na ranjive sajtove

Popularni WordPress dodatak hitno ažuriran zbog hakerskih napada na ranjive sajtove

Kritična ranjivost u WordPress dodatku koji se koristi na više od milion veb sajtova je zakrpljena, nakon što su se pojavili dokazi da je hakeri is... Dalje

Nedelju dana posle sajber napada, servisi Republičkog geodetskog zavoda postepeno počinju sa radom

Nedelju dana posle sajber napada, servisi Republičkog geodetskog zavoda postepeno počinju sa radom

Juče je Republički geodetski zavod (RGZ) otpočeo sa postepenim puštanjem u rad prioritetnih servisa neophodnih za funkcionisanje tržišta nepokre... Dalje

Ugašena bot mreža malvera koji je zarazio milione računara, Android telefona i IoT uređaja

Ugašena bot mreža malvera koji je zarazio milione računara, Android telefona i IoT uređaja

Američko Ministarstvo pravde objavilo je da je ugašena ruska bot mreža RSocks malvera koji je inficirao milione računara, Android pametnih telefon... Dalje