Un grupo de hackers con acceso publicitario a las redes de al menos tres compañías de antivirus en los EE. UU. Y el código fuente de sus productos de software.
El precio inicial inicial fue de $ 250,000 para información de acceso y $ 150,000 para el código fuente, pero estaban listos para venderlos por al menos $ 300,000, dependiendo de la compañía de antivirus en la que esté interesado el comprador.
Esta oferta fue para cada compañía individual y no es un precio fijo. Podría llegar a $ 1 millón para un acceso. Todavía se está discutiendo una oferta definitiva con los intermediarios.
Reclamando 30 terabytes de datos robados
En marzo, un actor que se hacía llamar Fxmsp anunció a los miembros de comunidades clandestinas criminales que podían proporcionar información exclusiva robada a las principales compañías antivirus ubicadas en los Estados Unidos.
A fines de abril, Fxmsp dijo que después de un arduo trabajo durante el primer trimestre de 2019, lograron romper las redes de las compañías y tenían acceso seguro a largo plazo.
Ofrecieron capturas de pantalla de carpetas que supuestamente contenían 30 terabytes de datos, alegando que se extrajeron de las redes dañadas.
"Las carpetas parecen contener información sobre la documentación de desarrollo de la compañía, el modelo de inteligencia artificial, el software de seguridad web y el código base del software antivirus", señala la empresa de seguridad AdvIntel en un informe publicado.
Yelisey Bogulsavskiy, directora de investigación de seguridad de AdvIntel, dijo a BleepingComputer que Fxmsp supuestamente comprometió el Active Directory (AD) de al menos una empresa y estableció la persistencia a través de un servidor externo de Protocolo de escritorio remoto (RDP).
AD es la parte más crítica de una red de Windows, ya que el servidor es responsable de autenticar y autorizar a todos los usuarios y computadoras en la red; También es donde se definen las políticas de seguridad para todos los sistemas que administra.
Esta táctica ha sido utilizada por la pandilla Carbanak contra bancos de todo el mundo. Fue descubierto por investigadores de la amenaza Kaspersky en un banco en Rusia.
Según Bogulsavskiy, Fxmsp nombró a tres de sus víctimas y afirmó que habían comprometido a una cuarta empresa de antivirus, pero no reveló su nombre.
El actor se oscurece, reaparece con una bolsa de regalos.
"El actor afirmó que la investigación de violación de antivirus ha sido su proyecto principal en los últimos seis meses, que se relaciona directamente con el período de seis meses durante el cual permanecieron en silencio en los foros clandestinos donde normalmente publican", dice AdvIntel.
Según la compañía de prevención de fraudes con sede en Nueva York, Fxmsp desapareció de los foros clandestinos en octubre de 2018 y regresó en abril de este año.
Fxmsp parece ser un grupo de hackers que habla ruso e inglés. Están especializados en apuntar a redes corporativas y gubernamentales en todo el mundo. En un post en febrero de 2018 que encontramos en un foro clandestino, el actor anunció el acceso a las redes corporativas de una empresa, que incluía entradas de cuenta para todos los empleados, "desde personal de limpieza hasta el presidente".
La monetización de los datos de acceso se realiza a través de vendedores proxy que atraen a compradores de foros criminales tanto rusos como ingleses. Aunque solo venden a un comprador, Bogulsavskiy nos dijo que Fxmsp es conocido por revender secretamente sus "productos".
La actividad de los individuos detrás del alias de Fxmsp es conocida entre los expertos en información de seguridad. FireEye los mencionó en su informe de crímenes electrónicos de 2018 para la región de EMEA (Europa, Oriente Medio y África).
El 5 de abril de 2018, Fxmsp publicó información de acceso para la red de una cadena de hoteles con ubicaciones en Europa, África y América del Sur.
AdvIntel cree que Fxmsp es un colectivo de piratas informáticos creíble que vende acceso corporativo verificable. Los investigadores creen que el grupo obtuvo una ganancia de alrededor de $ 1 millón por ahora. Otras ofertas de Fxmsp incluyen acceso a la red para las siguientes empresas: Keystone Bank Limited
- Familia clave de empresas
- DeltaWestern Petroleum
- Peckar & Abramson, PC (compañía legal de EE.UU.)
- Blue Stone Capital Investments LLC (Sociedad de inversiones de EE.UU.)
- Reliance Industries Limited (Indian Industrial Holding)
- Base de datos del Ministerio de Finanzas de Ghana
- Base de datos del gobierno electrónico de Bogotá