"Trabaja con nosotros". APT FIN7 recluta profesionales para crear malware

FIN7 es una pandilla de ciberdelincuentes con motivaciones FINancieras, que está especializado en unas técnicas tan curiosas como peligrosas para lanzar sus ataques: reclutar talento TI mediante compañías de ciberseguridad falsas.

La última conocida llevaba por nombre "Bastion Secure" y tenía el objetivo de reclutar ingenieros de software bajo el pretexto de realizar pruebas de penetración en un supuesto esquema de ransomware.

Para crear la última empresa falsa, este grupo criminal "aprovechó la información disponible públicamente de varias empresas verdaderas de ciberseguridad para crear un velo de legitimidad en torno a Bastion Secure", explican desde la unidad de Asesoramiento Gemini de Recorded Future en un informe. "FIN7 está adoptando tácticas de desinformación por si un empleado potencial o una parte interesada verificara Bastion Secure mediante una simple búsqueda en Google".

FIN7, también conocido como Carbanak, Carbon Spider y Anunak, tiene un amplio historial delictivo en la Red, especialmente en la industria de la hostelería, restauración y juegos de azar, donde infectaban sistemas de punto de venta (POS) con malware diseñado para recolectar números de tarjetas de crédito y débito, que luego se utilizaban o vendían con fines de lucro en mercados clandestinos.

En términos más generales, la decisión de FIN7 de utilizar una empresa de ciberseguridad falsa para contratar especialistas en TI para su actividad delictiva está impulsada por su deseo de contar con mano de obra calificada y comparativamente barata. Las ofertas de trabajo de Bastion Secure para puestos de especialistas en TI oscilaron entre U$S 800 y U$S 1.200 al mes, que es un salario inicial viable para este tipo de puesto en los estados postsoviéticos. Sin embargo, este "salario" sería una pequeña fracción de la porción de un ciberdelincuente de las ganancias criminales de una extorsión exitosa de ransomware o una operación de robo de tarjetas de pago a gran escala. En efecto, el esquema de empresa falsa de FIN7 permite a los operadores de FIN7 obtener el talento que el grupo necesita para llevar a cabo sus actividades delictivas, al tiempo que retienen una mayor parte de las ganancias.
FIN7, también ransomware

Sus últimas acciones muestran la expansión del grupo hacia el panorama del ransomware, altamente rentable. La creación de empresas falsas no es nada nuevo para FIN7, que anteriormente se había vinculado a otra firma falsa de ciberseguridad denominada ‘Combi Security‘ que afirmaba ofrecer servicios de pruebas de penetración a los clientes. Visto desde esa perspectiva, Bastion Secure no es diferente.

Su nuevo sitio web presenta contenido robado compilado de otras empresas legítimas de ciberseguridad, principalmente Convergent Network Solutions. La novedad es que en ella anunciaron "oportunidades de empleo" para programadores, administradores de sistemas e ingenieros, ofreciendo herramientas para las asignaciones de práctica durante el proceso de entrevista.

Es en la siguiente etapa del proceso de contratación cuando los representantes de la compañía brindaban acceso a una red y pedían a los posibles candidatos que recopilasen información sobre administradores de dominio, sistemas de archivos y copias de seguridad, lo que indicaba la preparación de ataques de ransomware.

Aunque los ciberdelincuentes que buscan cómplices involuntarios en sitios de trabajo legítimos no es nada nuevo, "la magnitud con las que opera FIN7 continúan superando el comportamiento mostrado por otros grupos de ciberdelincuentes", aseguran en el informe.

Fuente: Muy Seguridad | Gemini Advisory

Suscríbete a nuestro Boletín