Ils embauchent des pentesteurs pour voler des données exploitées ensuite dans des cyberattaques
Des hackers éthiques (white hats) sont des cyberpirates (black hats) à leur insu. Une prétendue firme de cybersécurité exploite des informations issues de soi-disant tests d’intrusion, probablement pour perpétrer ensuite des attaques par ransomware.
L'entreprise de cybersécurité Bastion Security recrute des spécialistes informatiques pour les pentests (tests d’intrusion). L'entreprise, basée en Angleterre, recherche spécifiquement des programmeurs connaissant les langages C++, PHP et Python, ainsi que des administrateurs système Windows et des experts en reverse engineering. Comme salaire, Bastion Security promet entre 800 et 1200 dollars US par mois.
Ceux qui postulent passent par un processus de candidature classique: un entretien, des accords d'embauche et de non-divulgation, une formation de base. La première mission d'un nouveau membre de l'équipe? Pénétrer le réseau d'une entreprise et collecter des informations sur les comptes administrateurs et les sauvegardes. Mais l’entrepise soi-disant cliente n’est en réalité absolument pas au courant du test d’intrusion. Bastion Security n’a en fait aucun client, tout simplement car il ne s’agit pas d’une entreprise authentique.
Spécialistes en cybersécurité utilisé à leur insu
Bastion Security est très probablement une façade mise en place par le groupe de pirates informatiques FIN7 (également connu sous le nom de Carbanak) pour recruter des spécialistes qui se voient dès lors devenir à leur insu des hackers black hat. Le stratagème a été révélé par la véritable société de cybersécurité Gemini Advisory, basée à Miami. Un informateur de la société a postulé chez Bastion puis partagé ses découvertes. Il n'est pas certain à 100%, mais très probable, que FIN7 soit derrière Bastion Security, précise Gemini, qui suppose que le groupe de pirates tente ainsi de se faire une place sur le marché lucratif des ransomwares. Avec les informations que les supposés pentesters obtiennent et les compétences qu'ils apportent, vous avez tout ce qu'il faut pour infecter très efficacement une victime avec un ransomware. Si FIN7 suivait la voie habituelle des cybercriminels et infectait ses victimes par l'intermédiaire d'un partenaire de ransomware trouvé sur le darknet, il devrait remettre jusqu'à 80% de la rançon à ce partenaire, explique Gemini dans son rapport.
