A banda egy teljesen hihetőnek tűnő weboldalon keresztül csábítgatta a munkaerőt, hogy még több bevételre tegyen szert a zsarolóvírus segítségével.
Egy jól ismert orosz zsarolóvírus csoport hamis céget hozott létre, hogy dolgozókat toborozzon a bűnügyi vállalkozásának bővítéséhez, közölték biztonsági kutatók. Ehhez volt egy professzionálisnak tűnő weboldaluk is, aminek a felületén kiberbiztonsági szolgáltatásokat kínáltak. Az álcégért a Fin7 felelős, amelyről azt feltételezik, hogy az Egyesült Államok egyik legnagyobb üzemanyag-vezetékét májusban megbénító rosszindulatú programért felelős, derül ki a Recorded Future biztonsági cég Gemini Advisory egységének új jelentéséből. A Fin7-et világszerte több száz vállalatot érintő hackertámadásokkal hozzák összefüggésbe. A feltételezések szerint ez a csoport fejlesztette ki azt a szoftvert is, amely a Colonial Pipeline megtámadásáért felelős. Ennek következtében az év elején a cég csővezetékének működése leállt, ami komoly gondot okozott délkeleti országrészek üzemanyag ellátásában.
Jóhiszemű álláskeresők, pici pénzért
A Fin7 létrehozott egy Bastion Secure nevű hamis céget, valamint egy kapcsolódó weboldalt, amely programozók, rendszergazdák és mérnökök számára hirdetett nyitott pozíciókat, hogy összeállítson egy olyan csapatot, amely képes a kiberbűnözői tevékenységet támogató feladatok elvégzésére. A Fin7 már korábban is gyakran álcázta magát valódi cégeknek, ami arra engedi következtetni, hogy a csoport a Bastion Secure fiktív céget használja arra, hogy tudatlan informatikai szakembereket toborozzon a zsarolóvírus-támadásokban való részvételre.
A csoport toborzási törekvéseit a viszonylag olcsó, képzett munkaerő iránti vágy vezérelte, áll a jelentésben, ami azt is írja, hogy havi 800 és 1200 dollár közötti kezdő fizetéseket kínáltak. Bár ez néhány kelet-európai országban elfogadható kezdő fizetés lenne egy informatikai munkáért, ez a csoport kiberbűncselekményekből származó nyereségének teljesen elenyésző része a kiadási oldalon.
Állásinterjúnak álcázott, akaratlan bűnrészesség
A Bastion Secure utáni nyomozás során egy Gemini-forrás jelentkezett állásra a hamis cégnél. Míg a felvételi első két szakaszában olyan feladatok szerepeltek, amelyekre az IT-szakemberek jellemzően számíthatnak az interjú során, a harmadik szakaszban azonnal világossá vált, hogy a cég bűnügyi tevékenységben vesz részt, írták a Gemini jelentésében. Az a tény, hogy a Bastion Secure képviselői különösen a fájlrendszerek és a biztonsági mentések iránt érdeklődtek, azt jelzi, hogy a FIN7 inkább a zsarolóvírus-támadások, mint a POS [point of sale] fertőzések végrehajtásában érdekelt. A Gemini szerint a Fin7 vágyát, hogy akaratlan cinkosokat toborozzon, valószínűleg a kapzsiság vezérelte. Azokkal, akik tudnának a bűncselekmény tényéről, a FIN7 kénytelen lenne megosztani az összesen több millió dolláros váltságdíjfizetések néhány százalékát. Ám a vétlen alkalmazottak alacsony, a posztszovjet államok munkaerőpiacának megfelelő, ezres nagyságrendű havi fizetésekért dolgoznának, áll a jelentésben.
Az Fin7 legalább 2014 óta aktív, és az egyik legnagyobb kiberbűnöző csoportnak számít, amely több mint 100 amerikai vállalatot támadott meg. Úgy tudni, jellemzően szállodákat, szerencsejáték-üzemeltetőket és éttermeket kedvelnek, köztük a Chipotle, a Chili’s és az Arby’s elleni támadásokat is ők követték el. A zsarolóvírus kifizetések 2020-ban világszerte több mint 400 millió dollárt hoztak a bűnözők konyhájára, míg 2021 első negyedévében meghaladták a 81 millió dollárt – jelentette az amerikai kormányzat a hónap elején.
[sc name=”facebook” ][/sc]
