Una captura de pantalla del sitio web de Bastion Secure, que desde entonces ha sido eliminado.
Futuro grabado
Un conocido grupo de ransomware ruso creó una empresa falsa para reclutar trabajadores de tecnología para expandir su empresa criminal, dicen los investigadores de seguridad.
La empresa falsa fue creada por Fin7 y se cree que creó el malware que paralizó uno de los conductos de combustible más grandes de EE. UU. En mayo, según un nuevo informe de la unidad Gemini Advisory de la firma de seguridad Recorded Future. La artimaña, informada anteriormente por el Wall Street Journal, incluía un sitio web de aspecto profesional que afirmaba que la compañía ofrecía servicios de ciberseguridad.
Fin7 se ha relacionado con hacks dirigidos a cientos de empresas en todo el mundo, dirigidos a los sistemas de punto de venta utilizados por los principales minoristas. También se cree que el grupo de amenazas desarrolló el software detrás del hack de Colonial Pipeline que cerró temporalmente las operaciones del oleoducto e interrumpió la entrega de gasolina a partes del sureste a principios de este año.
El grupo creó una empresa falsa llamada Bastion Secure, así como un sitio web complementario que anunciaba puestos vacantes para programadores, administradores de sistemas e ingenieros inversos para formar un equipo capaz de realizar tareas para respaldar la actividad del ciberdelincuente, dijeron los investigadores. Fin7 tiene un historial de hacerse pasar por empresas reales, lo que lleva a los investigadores a creer que el grupo “está utilizando la empresa ficticia Bastion Secure para reclutar involuntarios especialistas de TI para que participen en ataques de ransomware”.
El esfuerzo de reclutamiento del grupo fue impulsado por “el deseo de mano de obra calificada comparativamente barata”, dice el informe, que ofrece salarios iniciales entre $ 800 y $ 1,200 por mes. Si bien ese sería un salario inicial razonable para un trabajo de TI en algunos países de Europa del Este, sería una “pequeña fracción” de las ganancias del grupo de los delitos cibernéticos.
Al investigar Bastion Secure, una fuente de Géminis solicitó un trabajo en la empresa falsa. Si bien las dos primeras etapas incluyeron asignaciones que los especialistas en TI normalmente podían esperar en el proceso de entrevista, en la tercera etapa “quedó inmediatamente claro que la empresa estaba involucrada en una actividad delictiva”, escribieron los investigadores.
“El hecho de que los representantes de Bastion Secure estuvieran particularmente interesados en los sistemas de archivos y las copias de seguridad indica que FIN7 estaba más interesado en realizar ataques de ransomware que en POS [point of sale] infecciones “, escribieron.
Gemini dijo que el deseo de Fin7 de reclutar cómplices involuntarios probablemente fue impulsado por la codicia.
“Con cómplices dispuestos, FIN7 se vería obligada a compartir un porcentaje de los pagos de rescate por un total de millones de dólares, mientras que los” empleados “involuntarios trabajarían por salarios mensuales de miles de dólares, que son proporcionales a los mercados laborales en los estados postsoviéticos”. escribieron los investigadores.
Fin7 ha estado activo desde al menos 2014 y se considera una de las operaciones de ciberdelincuencia más grandes, atacando a más de 100 empresas estadounidenses, con un enfoque en hoteles, establecimientos de juego y restaurantes, incluidos los ataques a Chipotle, Chili y Arby’s, según el Departamento de Justicia.
Los pagos de ransomware alcanzaron más de 400 millones de dólares a nivel mundial en 2020 y superaron los 81 millones de dólares en el primer trimestre de 2021, informó el gobierno de EE. UU. A principios de este mes.
