Vor 2020 war es die primäre Vorgehensweise der Hackergruppe FIN7 (auch bekannt als Carbanak, Carbon Spider, Anunak, Cobalt Gang oder Navigator Group), die Netze von Unternehmen zu kompromittieren und POS-Systeme mit einer MITM- (Man in the Middle-)Malware zu infizieren, die Kreditkartendaten stiehlt. So führten die breit angelegten Kartenbetrugskampagnen von FIN7 laut Angaben des US-Justizministeriums zum Diebstahl von über 20 Millionen Datensätzen für Kreditkarten und kostete den Opfern über 1 Milliarde Dollar.

Von Kreditkartenbetrug zu Ransomware

Da sich zwischenzeitlich Ransomware zu einem lukrativen Geschäftsfeld für Cyberkriminelle entwickelte, stellt auch FIN7 seine Kernkompetenz und seine Kapazitäten auf Erpressungs-Software um. Bereits 2018 wurde aufgedeckt, dass sich FIN7 als die Cyber-Security-Firma "Combi Security" ausgab, um ahnungslose IT-Spezialisten zu werben).

Wie Gemini Advisory nun herausfand, nutzt FIN7 erneut eine fiktive Cybersecurity-Firma, um Fachkräfte für Ransomware-Attacken zu ködern. Der Cybersecurity-Spezialist aus Miami beruft sich dabei auf einen Informanten, dem eine Stelle als IT-Spezialist bei "Bastion Secure Ltd" angeboten wurde. Während des Job-Interviews seien dem Informanten mehrere Tools für Testaufgaben zur Verfügung gestellt worden, mit denen der Bewerber im Falle einer Einstellung arbeiten müsste.

Laut Analysen von Gemini Advisory handelte es sich dabei in Wirklichkeit um Komponenten der Post-Exploitation-Toolkits Carbanak und Lizar/Tirion. Die beiden Tools stammen von FIN7 und könnten sowohl für POS-Systeminfektionen als auch für Ransomware-Angriffe verwendet werden, so Gemini.

Doch damit nicht genug: Als ersten Auftrag erhielt der neu eingestellte Gemini-Informant die Aufgabe, bei einem "Kundenunternehmen" mithilfe eines Skripts Informationen über Domänenadministratoren, Beziehungen zwischen Domänen, Dateifreigaben, Backups und Hypervisoren zu sammeln. Dabei konnte Bastion Secure dem inzwischen misstrauisch gewordenen IT-Experten auf Nachfrage keinerlei rechtliche Legitimation oder Bestätigung für den Pentesting-Auftrag vorlegen - laut Gemini ein klarer Hinweis darauf, dass der Zugang zum Firmennetz möglicherweise durch Social Engineering erworben oder im Dark Web gekauft worden war.

Stellenangebote auf russischen Jobportalen

Laut Gemini hat Bastion Secure auf verschiedenen russischen Jobportalen Stellen für C++-, Python- und PHP-Programmierer, Systemadministratoren und Reverse Engineers ausgeschrieben. Sucht man im Web nach diesem Unternehmen gelangt man schnell zu einer legitim erscheinenden, aber mittlerweile u.a. von Chrome und Firefox als schädlich bewerteten Website (www.bastionsecure.com).

Wie eine Analyse der Security-Spezialisten ergab, handelt es sich dabei jedoch um ein fiktives Cybersicherheitsunternehmen. So sind nicht nur die angegebenen Büroadressen in britischen Gateshead, Tel Aviv, Moskau und Hongkong falsch, bei der Website handle es sich außerdem weitgehend um eine Kopie der Website von Convergent Network Solutions Ltd. ist, einem seriösen Cybersicherheitsunternehmen. Außerdem werde die Bastion-Secure-Website bei der russischen Domain-Registrierungsstelle Beget gehostet, die häufig von Cyberkriminellen genutzt wird.

IT-Spezialisten: Billiger als Cyberkriminelle

Gemini führt die Taktik von FIN7, über eine gefälschte Cybersecurity-Firma IT-Spezialisten für seine kriminellen Aktivitäten zu rekrutieren, auf den Wunsch nach vergleichsweise billigen, qualifizierten Arbeitskräften zurück. So würden die ausgeschriebenen Stellen mit Monatsgehältern zwischen 800 und 1.200 Dollar dotiert, was in den postsowjetischen Staaten ein angemessenes Einstiegsgehalt für diese Art von Position darstelle. Dieses "Gehalt" wäre jedoch nur ein Bruchteil des Anteils, den ein Cyberkrimineller an den kriminellen Gewinnen aus einer erfolgreichen Ransomware-Erpressung oder einem groß angelegten Zahlungskartendiebstahl hätte.