Cyberthreat.id – Serangan ransomware yang sedang naik daun di dunia peretasan, lantaran bisa mendapatkan uang dalam jumlah besar, menjadi daya tarik bagi geng peretas FIN7.

Mereka berpura-pura mendirikan sebuah perusahaan keamanan siber palsu, lalu membuka rekrutmen untuk dipekerjakan sebagai karyawan spesialis teknologi informasi (TI).

Praktik palsu itu dibongkar oleh peneliti keamanan siber dari Gemini Advisory. Dalam laporannya, dikutip dari BleepingComputer, diakses Jumat (22 Oktober 2021), peneliti berpura-pura bekerja di perusahaan yang bernama Bastion Secure itu.

Situs web perusahaan itu ternyata berisi konten curian dan kompilasi ulang dari situs web lain. Mereka menyatakan diri berada di Inggris, tapi anehnya situs web tersebut menampilkan halaman "kesalahan 404" berbahasa Rusia.

Di halaman “About”, perusahaan mengklaim diri sebagai spin-off dari perusaaan keamanan siber yang sah, Convergent Network Solutions Ltd. Convergent belum merespons terkait temuan ini.

“FIN7 menawarkan gaji US$800 hingga US$1.200 per bulan untuk posisi programmer C++, PHP, dan Python, administrator sistem Windows, dan spesialis rekayasa balik (reverse engineering),” kata Gemini mengutip dari sumber anonimnya.

Saat peneliti Gemini diterima kerja di Bastion Secure, mereka diberi akses ke sebuah perangkat lunak internal. Alat-alat ini berupa alat post-exploitation terkenal bernama “Carbanak” dan “Lizar/Tirion”, yang disamarkan sebagai “Command Manager”.

“Atribusi ke FIN7 cukup kuat meski kode sumber dari beberapa alat tersebut telah bocor ke publik dua tahun lalu,” kata Gemini.

Sampel Carbanak yang dianalisis peneliti Gemini tampaknya versi yang telah diperbarui, sehingga orang lain yang menggunakan alat yang telah bocor dua tahun lalu sangat kecil.

Proses perekrutan karyawan mulai wawancara, teken kontrak dan perjanjian non-disclosure, dan pelatihan dasar.

Namun, ketika melakukan tugas yang sebenarnya, menjadi jelas bahwa Bastion Secure sedang mencari seseorang untuk melakukan aktivitas kejahatan dunia maya, tutur Gemini.

Perusahaan itu menyediakan akses ke jaringan perusahaan target, seolah-olah menampilkannya sebagai klien yang mengorder layanan pentesting, dan meminta karyawan baru untuk mengumpulkan informasi yang relevan terkait dengan akun admin, data cadangan, dan lain-lain.

Dengan menciptakan perusahaan keamanan siber palsu untuk melakukan serangan, menurut Gemini, itu sebuah upaya mencari tenaga kerja murah daripada bermitra dengan afiliasi yang menuntut bagian 70-80 persen dari uang tebusan yang dibayarkan oleh korban ransomware.

Siapa FIN7?

Sebelumnya, Cyberthreat.id telah sedikitnya dua kali menurunkan tentang aktivitas kejahatan geng ini.

April lalu, Pengadilan Distrik di Seattle, AS, memvonis 10 tahun penjara kepada Fedir Hladyr (35), salah satu anggota FIN7 yang ditangkap Europol pada 2018 di Dresden, Jerman.

FIN7 atau dikenal dengan sebutan “Carbanak” ngetop karena sejumlah serangan pencurian uang sejak 2015—awal kemunculan di dunia kejahatan siber. Mereka banyak melakukan infeksi mesin ATM dengan malware.

Laporan Kaspersky menyebutkan hingga 2015 kelompok tersebut telah meraup setidaknya US$1 miliar dari lembaga keuangan selama dua tahun di 30 negara.

---

Berita Terkait:

• Petinggi FIN7, Perampok Bank Online Rp17,4 Triliun Divonis 10 Tahun Penjara
• Manajer FIN7 Dihukum 7 Tahun Penjara karena Meretas Data Kartu Kredit

---

Di Amerika Serikat, kelompok itu menerobos jaringan komputer perusahaan di 50 negara bagian dan District of Columbia. Mereka menyerang ratusan perusahaan AS, terutama  restoran, game, dan perhotelan.

Serangan lainnya juga terjadi di luar negeri, seperti di Inggris Raya, Australia, dan Prancis. Perusahaan yang telah menyatakan diri secara terbuka sebagai korban serangan FIN17 antara lain seperti Chipotle Mexican Grill, Chili's, Arby's, Red Robin, dan Jason's Deli.

FIN7 meretas ribuan sistem komputer dan mencuri jutaan nomor kartu kredit dan debit pelanggan yang digunakan atau dijual untuk mendapatkan keuntungan.

Di antara metode serangan yang dilakukan oleh FIN7, mereka membuat email yang tampak sah bagi karyawan organisasi dan ditindaklanjuti dengan panggilan telepon untuk lebih melegitimasi aktivitas mereka. Ketika lampiran email dibuka, FIN7 menggunakan versi modifikasi dari malware Carbanak, selain alat lainnya, untuk mencuri data kartu pembayaran pelanggan.

Laporan Europol pada 2018 menjelaskan, setelah menginfeksi server, kelompok ini mampu mengontrol ATM dari jarak jauh untuk mengeluarkan uang tunai pada waktu yang mereka tentukan. Ketika waktu yang telah disetel tiba, salah satu anggota geng menunggu di samping mesin untuk mengambil uang yang dimuntahkan oleh ATM.[]