Кибергруппировка FIN7 создала мнимую фирму по кибербезопасности и распространила объявления о найме по российским и украинским сайтам для поиска работы. По-видимому, они собирались использовать специалистов втемную для проведения реальных атак под видом пентестов.
Российская киберкриминальная группировка FIN7 создала фальшивую фирму по информационной безопасности в надежде нанять профессионалов, чтобы использовать их втемную для проведения кибератак.
Эксперты группы Gemini Advisory обнаружили некую подозрительную компанию под названием Bastion Secure, чей сайт целиком состоял из украденного и перекомпонованного контента других веб-ресурсов. В информационном разделе утверждалось, что компания базируется в Англии, однако сервер, на котором располагается сайт, выдавал сообщения об ошибках 404 (несуществующие разделы) на русском языке.
Кроме того, в информационном разделе содержалось утверждение, что Bastion является дочерним предприятием реально существующей фирмы по кибербезопасности Convergent Network Solutions. Пока неизвестно, в курсе ли Convergent о появлении у них такого «дочернего предприятия».
В разделе вакансий Bastion (или FIN7) предлагались позиции программистов на C/C++, PHP и Python, системных администраторов Windows и специалистов по обратной разработке. Обещанная зарплата составляла от $800 до $1200 в месяц.
Неназванный эксперт, проинформировавший Gemini об этих вакансиях, сообщил, что отправил в Bastion свое резюме и был принят на работу. Ему даже открыли доступ к внутреннему инструментарию Bastion. На поверку оказалось, что это широко известные специалистам по ИБ средства пост-эксплуатации (развития атаки после изначальной компрометации системы) Carbanak и Lizar/Tirion. Различные группы исследователей уже неоднократно ассоциировали Carbanak и Lizar/Tirion с деятельностью группировки FIN7.
Нанятым работникам их представляли как «менеджер команд». Судя по скриншоту, который приводится в блоге Gemini Advisory, интерфейс этой панели управления весь на русском языке.
Работнику предоставлялся доступ к внутренним ресурсам сторонней компании (якобы клиента, заказавшего услуги пентестеров), после чего предлагалось собрать информацию об аккаунтах с административными полномочиями, резервных копиях и пр., то есть, обо всем, что интересует операторов будущей атаки с помощью шифровальщиков.
Источник Gemini запросил юридическую документацию на пентест, но ничего не получил, из чего сделал окончательный вывод о криминальной природе своего нанимателя.
Как указывается в публикации Gemini, помимо собственного сайта, Bastion/FIN7 опубликовали вакансии на множестве легитимных сайтов по поиску работы в России и на Украине (например, Superjob.ru и Rabota.ua). На сайте Zoon.ru даже было размещено целое досье с указанием физического адреса: Пресненская набережная, 12. Это башня «Федерация». Между тем, на сайте Bastion Secure говорится, что московский офис компании якобы располагается в башне «Империя» (Пресненская набережная, 6, стр. 2), хотя адрес указан тот же.
В сервисе «Яндекс.карты» фирма Bastion Secure по указанным адресам не значится.
«Хотя нет ничего нового в попытках киберпреступных групп нанимать людей на легитимных сайтах по поиску работы, размах и наглость, с которыми действует FIN7, явственно превосходит поведение других киберкриминальных группировок... Решение нанимать работников для использования втемную вместо поиска подельников в даркнете, по-видимому, связано с банальной жадностью. С теми, кто сотрудничает сознательно, FIN7 пришлось бы делиться процентом от сумм выкупа, которые могут составлять миллионы долларов, в то время как ничего не подозревающие наемные работники готовы были бы трудиться за ежемесячную зарплату в районе тысячи долларов. Это примерный размер зарплат на рынках пост-советских стран», — говорится в публикации Gemini.
К настоящему моменту Google Chrome маркирует сайт Bastion Secure как вредоносный.
«Характерно, что группировка пытается нанимать в первую очередь именно программистов и системных администраторов, а не экспертов по информационной безопасности, — говорит Данила Каревский, эксперт по информационной безопасности компании SEQ. — Специалист мог бы опознать, и в описываемом случае действительно опознал, инструментарий FIN7, даже и слегка замаскированный. Кроме того, услуги тестирования на проникновение всегда оказываются с большим количеством юридически заверенных условий, с которыми должны знакомиться и непосредственные исполнители. Если работодатель не предоставляет документы, это признак криминала».
Редакция Кибер Медиа собрала для вас главные события этой недели из мира кибербезопасности.
Исследователи SafeDep разобрали исходный код Miasma, который появился на GitHub через скомпрометированные аккаунты разработчиков.
OpenAI опубликовала план развития, в котором описала новый этап работы компании.
Специалист по безопасности под псевдонимом Dead Eclipse продолжает публиковать сведения о ранее неизвестных уязвимостях Windows после конфликта с Microsoft.
Использование встроенного антивируса Windows Defender может нести серьёзные риски для корпоративных пользователей из-за обнаруженной уязвимости, позволяющей хакерам получать права администратора.
Специалисты центра исследования киберугроз Solar 4RAYS обнаружили гигантский ботнет ProxyCB.
Эксперты BI ZONE Mail Security зафиксировали масштабную кибератаку на сотрудников российских компаний: только за последнюю неделю мая 2026 года злоумышленники разослали более тысячи фишинговых писем, спекулируя на теме пассивного дохода и инвестиций.
Подавляющее большинство опрошенных россиян согласны с тем, что цифровая среда упрощает их жизнь, а 90% уверены, что каждый человек должен уметь самостоятельно взаимодействовать с современными приложениями и сервисами.
Почти треть опрошенных российских компаний сталкивалась с утечками клиентских данных — показало исследование сервиса телефонии «Новофон».
Специалисты компании F6 выявили новую многоуровневую мошенническую схему в Telegram: злоумышленники используют страх граждан перед атаками беспилотников, чтобы в итоге втянуть их в фейковые розыгрыши и выманить деньги от имени государственного кадрового портала.
