Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

l+f: Cybercrime-Bande heuert Security-Spezialisten an

Angeblich sollten die dann legitime "Penetration-Tests" bei Kunden durchführen.

In Pocket speichern vorlesen Druckansicht 5 Kommentare lesen

(Bild: Panorama Images/Shutterstock.com)

Lesezeit: 2 Min.
Security
Von

Weil die Dienste von Security-Spezialisten immer noch billiger sind, als echte Kriminelle, die auf einem Anteil an der Beute bestehen, zog eine CyberCrime-Bande eine Scheinfirma namens Bastion Secure hoch. Die heuerte dann Spezialisten für angeblich legitime Penetration-Tests an, erklärt die echte Sicherheitsfirma Gemini Advisory.

Bastion Secure sucht auf seiner Web-Seite nach IT-Spezialisten mit Kenntnissen im Bereich Systemadministration und Reverse Engineering. Diese Web-Seite sieht auf den ersten Blick sehr echt aus, was wohl daher kommt, dass sie einer Web-Seite einer legitimen Sicherheitsfirma quasi 1:1 nachempfunden ist. Mittlerweile erscheint beim Aufruf der Bastion-Security-Website eine Phishing-Warnung.

Seine Web-Site hat Bastion Secure offenbar einfach nachgebaut.

(Bild: Screenshot)

Undercover-Bewerbung

Eine Quelle von Gemini Advisory hatte sich durch den mehrstufigen Bewerbungsprozess durchgearbeitet und schließlich seinen ersten realen Auftrag erhalten. Dieser bestand darin, ein Netzwerk nach allen Regeln der Kunst auszuforschen. Gefragt waren vor allem Informationen zu Domain Admins, Dateifreigaben und Backups. Dazu erhielt der neu Angestellte einen Remote-Zugang zum Netz des angeblichen Kunden, aber keinerlei Erklärungen oder gar Unterlagen, aus denen hervorgegangen wäre, dass es sich tatsächlich um einen legitimen Auftrag handelte.

Aus einer Analyse der gestellten Test- und Arbeitsmaterialien leitet Gemini Advisory ab, dass hinter Bastion Secure in Wahrheit die CyberCrime-Bande FIN7/Carbanak steht. Diese hatte über viele Jahre hochprofessionelle Raubzüge im Bankenumfeld durchgeführt. Mittlerweile hat sie sich als DarkSide und BlackMatter auf das noch einträglichere und vor allem risikoärmere Ransomware-Geschäft spezialisiert.

DarkSides und BlackMatters Spezialität ist Ransomware-as-a-Service (RaaS). Dabei stellt der RaaS-Anbieter seinen Affiliates Anleitungen, Infrastruktur und Tools für deren Raubzüge bereit. Solche Affiliates bekommen dann einen Anteil von zwischen 20 und 90 Prozent der Beute. Die Hoffnung war wohl, dass "normale Angestellte" billiger wären. Ein typisches Gehalt eines Security-Spezialisten in Russland liegt bei 1000 Euro im Monat; Lösegelder rangieren eher im Bereich 100.000 bis hin zu mehreren Millionen.

Mehr Infos

lost+found

Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.

Alle l+f Meldungen in der Übersicht

(ju)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten