La organización criminal FIN7 vinculada a las múltiples campañas de robo de tarjetas de créditos y ataques de ransomware, se hace pasar por una empresa con apariencia legitima llama “Bastion Secure Ltd”, para reclutar personal.
Según la investigación realizada por la compañía Recorded Future este grupo gano notoriedad en el 2010 por sus campañas de malware a los puntos de ventas (POS) y en el 2018 por la venta de más de 5 millones de tarjetas de pago en la red oscura.
Esta modalidad de crear compañías no es nueva para FIN7, en el año 2018 el departamento de justicia de EE. UU revelo que se hacían pasar por una empresa de seguridad “Combi Security”, para reclutar especialistas en TI en sus campañas. Ahora opera bajo la apariencia de “Bastion Secure” que afirma ofrecer servicios al sector público especializados.
Para entregar más credibilidad Bastion Secure ha publicado ofertas de trabajo, busca programadores, administradores de sistemas e ingeniería inversa, las descripciones de los cargos son similares a cualquiera solicitud de empresa de TI o ciberseguridad.
En la investigación se pudo determinar que el sitio web “Bastion Secure” (https://www.bastionsecure.com), es una copia del sitio web de “Convergent Network Solutions Ltd” (https://www.cnsgroup.co.uk/), una empresa legítima de ciberseguridad.
Recorded Future pudo analizar las herramientas proporcionadas en el proceso de reclutamiento por la “Bastion Secure” y pudo determinar que eran componentes de Kits post-explotación de Carbanak y Lizar/Tirion atribuidas al grupo FIN7, estas herramientas permite a los atacantes controlar remotamente los equipos infectados.
“Aunque los ciberdelincuentes que buscan cómplices involuntarios en sitios de trabajo legítimos no es nada nuevo, la escala y la descaro con la que opera FIN7 continúan superando el comportamiento mostrado por otros grupos de ciberdelincuentes,” informo Recorded Future en su informe, además agrega que “La decisión de FIN7 de contratar cómplices involuntarios, en lugar de encontrar cómplices dispuestos en la web oscura, probablemente se deba a la codicia.” Ya que es más rentable tener empleados involuntarios trabajando por sueldos mensuales envés de pagar cómplices que tendría que compartir un porcentaje del pago del rescate que podría ser millones de dólares.
