FIN7 Memikat Pro Keamanan Tanpa Sadar untuk Melakukan Serangan Ransomware

Geng kejahatan dunia maya yang bermotivasi finansial di balik malware pintu belakang Carbanak, FIN7, telah menemukan ide jenius untuk memaksimalkan keuntungan dari ransomware: Pekerjakan penguji pena sungguhan untuk melakukan beberapa pekerjaan kotor mereka alih-alih menyerang kemitraan dengan penjahat lain.

Menurut laporan dari Gemini Advisory, grup tersebut telah mendirikan perusahaan keamanan palsu (disebut “Bastion Secure”) dan mencari untuk mempekerjakan profesional keamanan dengan kedok membutuhkan keahlian tim merah untuk kliennya. Pada kenyataannya, “karyawan” yang ditipu melakukan aktivitas jahat, tanpa sepengetahuan mereka.

Ini bukan pertama kalinya FIN7 menyamar sebagai perusahaan keamanan yang sah, tetapi langkah terbaru ini menunjukkan ekspansi lanjutannya ke area ransomware, catat para peneliti. ke Ransomware

FIN7 (alias Carbanak Gang atau Navigator Group) telah beroperasi setidaknya sejak tahun 2015, dan terkenal baik untuk mempertahankan akses terus-menerus di perusahaan target dengan malware backdoor kustomnya, dan untuk menargetkan sistem point-of-sale (PoS) dengan perangkat lunak skimmer. Grup ini sering menargetkan restoran kasual, kasino, dan hotel, dan itu sangat sukses. Di AS saja, FIN7 telah mencuri lebih dari 20 juta catatan kartu pelanggan dari lebih dari 6.500 terminal PoS individu di lebih dari 3.600 lokasi bisnis terpisah, di seluruh 50 negara bagian, menurut Departemen Kehakiman. Jumlah total kerugian korban telah melebihi $1 miliar.

Sejak tahun 2020, FIN7 telah masuk ke dalam permainan ransomware/eksfiltrasi data, dengan aktivitasnya yang melibatkan REvil atau Ryuk sebagai muatannya, tambah peneliti Gemini. Serangan tersebut termasuk pemilihan target yang cermat menurut pendapatan menggunakan layanan ZoomInfo, melakukan pengintaian, membangun akses awal, dan melakukan semua aktivitas lanjutan yang diperlukan jenis serangan ini – namun, keterlibatan pasti FIN7 dalam proses tersebut tidak diketahui.

“ Apakah mereka menjual akses ke kelompok ransomware atau telah membentuk kemitraan dengan kelompok-kelompok ini masih belum jelas,” menurut laporan yang dikeluarkan Kamis, yang didasarkan pada informasi dari sumber yang hampir ditipu untuk menjadi salah satu rekrutan FIN7. “Namun, tugas yang ditugaskan ke sumber Gemini oleh FIN7 (beroperasi di bawah kedok Bastion Secure) cocok dengan langkah-langkah yang diambil untuk mempersiapkan serangan ransomware.”

Biasanya, ekonomi ransomware adalah jalinan hubungan yang kompleks, dengan ransomware-sebagai -a-service (RaaS) geng menawarkan malware mereka untuk disewakan kepada afiliasi yang melakukan serangan cyber sebenarnya dengan imbalan sebagian dari uang tebusan. Afiliasi ini pada gilirannya dapat bermitra dengan penjahat dunia maya lain yang menawarkan layanan seperti akses awal melalui pintu belakang yang terus-menerus, penyewaan berbagai alat, dan aktivitas pasca-serangan seperti pencucian uang. Total biaya serangan bisa menjadi usaha yang mahal, yang tentu saja membuat uang tebusan jutaan dolar menjadi berharga.

Peneliti Gemini berteori bahwa Bastion Secure adalah ide untuk mempertahankan jumlah keuntungan maksimum dari lengan baru operasi FIN7 ini, dengan beroperasi di luar dari paradigma ini. Sederhananya, membayar gaji “yang sah” lebih murah daripada layanan yang ditawarkan di dunia maya.

“Penawaran pekerjaan Bastion Secure untuk posisi spesialis TI berkisar antara $800 dan $1,200 USD per bulan, yang merupakan gaji awal yang layak untuk jenis pekerjaan ini. posisi di negara-negara pasca-Soviet,” menurut Gemini. Ia menambahkan bahwa dengan kaki tangan yang bersedia, FIN7 akan dipaksa untuk berbagi persentase pembayaran tebusan – tetapi “skema perusahaan palsu FIN7 memungkinkan operator FIN7 untuk mendapatkan bakat yang dibutuhkan kelompok untuk melakukan kegiatan kriminalnya, sementara secara bersamaan mempertahankan bagian dari keuntungan.”

Mengingat meningkatnya minat FIN7 pada ransomware, Bastion Secure kemungkinan secara khusus mencari administrator sistem, Gemini berspekulasi. Keterampilan tersebut akan mencakup kemampuan untuk memetakan sistem perusahaan yang disusupi, mengidentifikasi pengguna dan perangkat di dalam sistem, dan menemukan server dan file cadangan.

“Operator FIN7 dapat memperoleh akses awal melalui metode phishing dan rekayasa sosial yang terdokumentasi dengan baik, atau dengan membeli akses di forum Dark Web dari sejumlah besar vendor,” menurut Gemini. “Setelah administrator sistem memetakan sistem dan mengidentifikasi cadangan, FIN7 kemudian dapat meningkatkan ke langkah berikutnya dalam proses infeksi malware dan ransomware.”

Bastion Secure: Rumah Pekerjaan Anda yang Baru dan Tampak Sah

FIN7 telah berusaha keras untuk verifikasi untuknya perusahaan palsu, dimulai dengan nama, Bastion Secure, yang ditunjukkan Gemini sangat mirip dengan nama perusahaan nyata yang berspesialisasi dalam keamanan fisik yang disebut Bastion Security.

Alamat kantor perusahaan, sementara itu, diangkat dari kantor nyata tetapi sekarang ditutup untuk Bastion Security yang sah, dan tiga gedung perkantoran nyata yang berisi banyak bisnis di Hong Kong, Moskow, dan Tel Aviv.

Lalu, ada situs webnya. Gemini menemukan bahwa keberadaan web perusahaan jahat itu hanyalah salinan dari situs Convergent Network Solutions (meskipun di-host di pendaftar domain Rusia yang disukai oleh penjahat dunia maya bernama Beget – tanda bahaya potensial).

Singkatnya, pencarian Google cepat mungkin cukup untuk meyakinkan seseorang bahwa Bastion Secure palsu adalah kesepakatan yang sah.

“Kelompok kriminal memanfaatkan informasi yang benar dan tersedia untuk umum dari berbagai perusahaan keamanan siber yang sah untuk menciptakan selubung tipis legitimasi di sekitar Bastion Secure,” menurut laporan itu. “Akibatnya, FIN7 mengadopsi taktik disinformasi sehingga jika calon karyawan atau pihak yang berkepentingan memeriksa fakta Bastion Secure, maka pencarian sepintas di Google akan mengembalikan informasi ‘benar’ untuk perusahaan dengan nama atau industri yang mirip dengan Bastion Secure FIN7. .”

Bastion Secure juga memposting tawaran pekerjaan yang tampak sah di situs webnya sendiri dan situs pencarian pekerjaan terkemuka di negara bagian pasca-Soviet, menurut laporan tersebut. Kami juga dengan senang hati memberikan referensi yang tampaknya memiliki reputasi baik untuk kredibilitas tambahan.

“Dalam beberapa bulan terakhir, Bastion Secure telah memposting tawaran pekerjaan untuk administrator sistem di situs pencarian pekerjaan dan menambahkan lowongan baru untuk pemrogram PHP, Python, dan C++ dan insinyur balik di situs web mereka,” menurut peneliti Gemini. “Di situs pekerjaan ini, Bastion Secure memberikan informasi yang cukup profesional untuk terlihat sah dan mencakup informasi kantor yang diklaim dan nomor telepon.”

Langkah-Langkah Perekrutan Bastion Secure

Laporan tersebut merinci perekrutan dan perawatan profesional keamanan FIN7 yang cermat, berdasarkan sumber yang melewati proses. Upaya ini melibatkan tiga tahap.

Tahap Pertama: Proses Wawancara

Berdasarkan pengalaman sumber Gemini, tahap pertama dari proses perekrutan menawarkan indikasi zippo bahwa ada sesuatu yang salah, kata peneliti.

Pertama, “perwakilan SDM” memberi tahu target bahwa dia telah meninjau resume sumber dan tertarik untuk mempekerjakan mereka sebagai spesialis TI. Setelah itu, perwakilan menyiapkan wawancara tahap pertama yang tampak normal – meskipun melalui pesan di Telegram (berpotensi menjadi tanda bahaya).

Setelah menyelesaikan wawancara, sumber diberi tahu apa yang diharapkan untuk langkah selanjutnya:

<

ul>

  • Selesaikan beberapa tugas tes sebelum memulai dalam masa percobaanliu

    <

    ul>iMenandatangani kontrak dan perjanjian kerahasiaanliu

      iMengonfigurasi komputer dengan menginstal beberapa mesin virtual dan membuka port

    Tahap Kedua: Tugas Latihan

    Tahap kedua dari proses perekrutan juga tidak benar-benar menandai Bastion Secure sebagai operasi kejahatan dunia maya, menurut sumber: The target hanya diinstruksikan untuk menginstal platform tertentu dan melakukan serangkaian tugas latihan yang menurut Gemini akan menjadi tipikal untuk posisi tersebut.

    Perangkat lunak ini konon dilisensikan ke “Perangkat Lunak Checkpoint,” yang tentu saja mencoba mengkooptasi nama perusahaan yang sah. Titik. Namun, analisis perusahaan menemukan bahwa alat yang disediakan sebenarnya adalah komponen dari trojan akses jarak jauh (RAT) Carbanak yang terkenal, dan RAT yang baru-baru ini dikembangkan bernama Lizar/Tirion.

    Ada beberapa momen “hal yang membuat Anda pergi hmmm”: Untuk satu, perusahaan memperingatkan denda besar jika sumber menginstal perangkat lunak antivirus pada mesin virtual; dan dua, sumber diberitahu bahwa karyawan diharuskan menggunakan alat khusus untuk menghindari deteksi.

    Tahap Ketiga: Penugasan ‘Nyata’ (alias Peretasan Nyata)

    Pada tahap ketiga, Bastion Secure menawarkan tanda tugas “nyata” dengan “klien” perusahaan” untuk dikerjakan. Di sinilah fasad runtuh untuk sumbernya, menurut Gemini.

    “Segera menjadi jelas bahwa perusahaan itu terlibat dalam kegiatan kriminal,” kata peneliti. “Tugasnya adalah menggunakan skrip untuk mengumpulkan informasi tentang administrator domain, hubungan kepercayaan domain, berbagi file, cadangan, dan hypervisor….Bastion Secure menyediakan akses ke jaringan perusahaan tanpa dokumentasi atau penjelasan hukum apa pun.” Sumber

    Gemini mencatat bahwa ini , dikombinasikan dengan tanda bahaya dari sebelumnya dalam proses perekrutan, menunjukkan bahwa sesuatu yang teduh sedang terjadi.

    Menyamar sebagai Sah

    Tidak jelas seberapa sukses Bastion Secure sejauh ini, tetapi terus melanjutkan upayanya: Situs web dan daftar pekerjaannya masih aktif dan berjalan , menurut Gemini.

    Masquerading sebagai terlibat dalam aktivitas keamanan yang sah adalah sedikit taktik yang dicoba-dan-benar (dan sangat ironis) untuk FIN7. Pada bulan Mei, misalnya, Lizar RAT ditemukan menyebar dengan kedok sebagai alat pengujian pena Windows untuk peretas etis. Dalam hal itu, FIN7 berpura-pura menjadi organisasi sah yang menjajakan alat analisis keamanan.

    Sebelum itu, perusahaan keamanan BI.ZONE mengamatinya mendorong Carbanak dengan kedok paket menjadi alat dari Check Point atau Forcepoint pendukung keamanan siber, hanya seperti yang dilakukan Bastion Secure.

    Dan sejauh 2018, Departemen Kehakiman AS menemukan FIN7 menyamar sebagai “Combi Security,” perusahaan keamanan siber palsu lainnya, untuk melibatkan spesialis TI yang tidak sadar dalam kampanye carding-nya.

    Taktik ini juga tidak khusus untuk FIN7 , meskipun telah digunakan untuk mencapai hasil yang berbeda. Awal tahun ini, kelompok ancaman persisten tingkat lanjut (APT) Korea Utara yang disebut Zinc, yang memiliki tautan ke APT Lazarus yang lebih terkenal, memasang dua serangan terpisah yang ingin menginfeksi peneliti keamanan dengan malware.

    Pada bulan Januari, kelompok tersebut menggunakan upaya rekayasa sosial yang rumit melalui Twitter dan LinkedIn, serta platform media lain seperti Discord dan Telegram, untuk menjalin hubungan tepercaya dengan peneliti dengan menunjukkan diri mereka sebagai peneliti sah yang tertarik dengan keamanan ofensif.

    Secara khusus, penyerang memulai kontak dengan menanyakan peneliti apakah mereka ingin berkolaborasi dalam kerentanan penelitian bersama. Mereka menunjukkan kredibilitas mereka sendiri dengan memposting video eksploit yang telah mereka kerjakan, termasuk memalsukan keberhasilan eksploit yang berfungsi untuk kerentanan Windows Defender yang telah ditambal yang telah dieksploitasi sebagai bagian dari serangan besar-besaran SolarWinds.

    Akhirnya, setelah banyak korespondensi, penyerang memberi peneliti yang ditargetkan Proyek Visual Studio yang terinfeksi dengan kode berbahaya yang dapat memasang pintu belakang ke sistem mereka. Korban juga dapat terinfeksi dengan mengikuti tautan Twitter yang berbahaya.

    Zinc kembali melakukannya pada bulan April, menggunakan beberapa taktik media sosial yang sama tetapi menambahkan profil Twitter dan LinkedIn untuk perusahaan palsu bernama “SecuriElite”, yang diklaim sebagai serangan perusahaan keamanan yang berlokasi di Turki. Perusahaan mengklaim menawarkan tes pena, penilaian dan eksploitasi keamanan perangkat lunak, dan mengaku secara aktif merekrut personel keamanan siber melalui LinkedIn.

    Meskipun ini bukan taktik baru, kasus terbaru ini mendorong amplop pada kebenaran, kata Gemini. “FIN7 tidak hanya mencari korban tanpa disadari di situs pekerjaan yang sah, tetapi juga berusaha untuk mengaburkan identitas aslinya sebagai penjahat dunia maya dan kelompok ransomware yang produktif dengan menciptakan kehadiran web palsu melalui situs web yang sebagian besar tampak sah, posting pekerjaan profesional, dan info perusahaan. halaman di situs pengembangan bisnis berbahasa Rusia,” laporan itu diringkas.

  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...

    %d bloggers like this: