Gang ransomware rekrutował „pracowników” udając firmę z sektora IT

22 października 2021, 09:54
finger-2081169_1280
Fot. ar130405 / Pixabay

Gang ransomware, którego działalność łączy się m.in. z cyberatakiem na rurociąg Colonial Pipeline z lipca tego roku, rekrutował „pracowników” podając się za firmę z sektora IT. Mieli oni pomóc cyberprzestępcom w realizacji kolejnej kampanii ataków - uważają badacze bezpieczeństwa z firm Microsoft i Recorded Future.

Firma, którą wymyślili członkowie cybergangu, nazywała się Bastion Secure. Powstała dla niej nawet cała witryna internetowa o bardzo profesjonalnym wyglądzie, na której można było przeczytać ofertę usług z zakresu cyberbezpieczeństwa, jakie rzekomo oferowała spółka. Po drugiej stronie znajdowało się jednak nie przedsiębiorstwo, a grupa cyberprzestępca znana jako Fin7.

Nie tylko rurociąg paliwowy

Dziennik Wall Street Journal” przypomina, że grupa ta, oprócz zhakowania rurociągu Colonial Pipeline w lipcu tego roku, co doprowadziło do jego wyłączenia i braków paliwa w części Stanów Zjednoczonych, ma na swoim koncie wiele innych ataków. Jej członkowie w przeszłości mieli zhakować setki firm, wykraść dane ponad 20 mln ich klientów, a także tworzyć oprogramowanie, które posłużyło do słynnego już cyberataku na rurociąg. 

Jaką pracę” oferowali cyberprzestępcy?

Na stronie firmy” Bastion Secure znajdowała się zakładka z ofertami pracy, wśród których znajdowały się wakaty na rzekome stanowiska zakresem obowiązków bardzo zbliżone do standardowych ofert pracy w branży. Bastion Secure poszukiwało programistów, administratorów systemów i testerów oprogramowania, którzy mieli pracować” od poniedziałku do piątku przez dziewięć godzin z przerwą na obiad.

Eksperci: to nowość

Według specjalistów, z którymi rozmawiał WSJ”, podszywanie się cybergangu pod firmę z sektora cyberbezpieczeństwa to nowy sposób działania, przynajmniej w przypadku grup posługujących się ransomware. Tendencja profesjonalizacji cyberprzestępczości jest jednak dostrzegalna i wpisuje się w szerszy trend - gangi dobrze zarabiają na swojej działalności i coraz częściej przypominają startupy”, które zatrudniają profesjonalne kadry z zakresu backendu, rozwoju oprogramowania, a także specjalistów od technologii chmurowych, a nawet… komunikacji i relacji z mediami.

Wynagrodzenia wahały się od 800 do 1200 dolarów miesięcznie, co w krajach takich jak państwa należące do byłego bloku sowieckiego wcale nie jest małą pensją - ocenia dziennik, wskazując m.in. na Ukrainę. 

Dziennik próbował skontaktować się z Bastion Secure korzystając z danych zamieszczonych na stronie. E-maile pozostały jednak bez odpowiedzi, a telefon z numerem kierunkowym do Izraela odebrał mężczyzna mówiący po rosyjsku, który powiedział, że jest prywatną osobą i nie ma nic wspólnego z jakąkolwiek firmą z branży cyberbezpieczeństwa - pisze gazeta.

Gang zatrudniał przede wszystkim osoby rosyjskojęzyczne

Według firm Recorded Future i Microsoft, działania gangu zmierzające do pozyskania pracowników” koncentrowały się przede wszystkim na kadrach rosyjskojęzycznych. Fin7 musiał jednocześnie działać pod presją czasu i braku kompetencji - jak wskazują eksperci, cyberprzestępcy zazwyczaj rekrutują w cieniu, wykorzystując fora hakerskie i darknet, jednakże w tym wypadku zdecydowali się na działania w świetle dnia.

Zdaniem Recorded Future, rekrutacja w otwartym internecie ma jeszcze inne zalety - pozwala uniknąć organów ścigania, których agentów pełno jest w społecznościach zrzeszających cyberprzestępców w darknecie. 

To nie pierwszy raz, kiedy Fin7 korzysta z tego sposobu działania

WSJ” podaje, że Bastion Secure nie jest pierwszą fikcyjną firmą z branży cyberbezpieczeństwa, którą stworzył na swoje potrzeby ten gang. 

W sierpniu 2015 roku grupa posługiwała się nazwą handlową Combi Security, aby podjąć współpracę z pochodzącym z Ukrainy administratorem systemów Fedirem Hladyrem. Hladyr długo nie zorientował się, że jest uczestnikiem nielegalnych działań. Według zeznań, które złożył w prokuraturze, Fin7 dbał o to, aby żaden z pracowników” nie zorientował się, na czyją rzecz tak naprawdę świadczą pracę. Niektórzy domyślali się z biegiem czasu, inni nie. 

Hladyr był odpowiedzialny za utrzymanie serwerów gangu, wykorzystywanych do przeprowadzania cyberataków i zarządzania nimi. W kwietniu otrzymał wyrok 10 lat pozbawienia wolności.


Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: redakcja@cyberdefence24.pl. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture. 

image
Fot. Reklama
KomentarzeLiczba komentarzy: 0
No results found.
Tweets CyberDefence24