Исследователи раскрыли личность русскоязычного хакера Fxmsp

  • Автор темы Admin

Admin

#1
Администратор
Регистрация
31.12.2019
Сообщения
7,248
Реакции
34
Специалисты Group-IB раскрыли предполагаемую личность русскоязычного хакера Fxmsp, который в течение трех лет продавал в даркнете доступы в корпоративные сети международных компаний. Об этом говорится в аналитическом отчете «Fxmsp: невидимый бог сети».

Вместе со своим сообщником под ником Lampeduza, взявшим на себя рекламу и сопровождение всех сделок, в период с октября 2017 по сентябрь 2019 хакер скомпрометировал порядка 135 компаний в 44 странах мира. Четыре из атакованных Fxmsp компаний входят в рейтинг Global 500 журнала Fortune за 2019 год. По минимальным оценкам, прибыль злоумышленника составила $1,5 млн.

2020-06-23-19.51.00-e1592933139628.jpg


Первая активность хакера была зафиксирована в 2017 году. Он начинал с установки скрытых майнеров для добычи криптовалюты Monero на сервера своих жертв, а затем переключился на взлом корпоративных сетей.

2020-06-23-19.39.22-e1592933172967.jpg


Fxmsp самостоятельно занимался всеми этапами атаки, включая сканирование IP-диапазона в поисках открытого порта RDP 3389 для удаленного рабочего стола, брутфорс, закрепление в сети и установку бэкдоров.

«Во второй половине 2017 года в «элитной» нише продаж доступов в корпоративные сети Fxmsp был самым заметным игроком и абсолютным лидером по числу лотов», – рассказывают в Group-IB.
Основная активность Fxmsp пришлась на 2018 год, после чего ниша некоторое время пустовала, а с начала 2019 года у киберпреступника появились последователи. По данным Group-IB, с начала 2020 года более 40 киберпреступников применяют техники Fxmsp.

Проанализировав почтовые адреса хакера, его аккаунты в Jabber, Skype и на андеграундных форумах, а также связанные домены, специалисты Group-IB пришли к выводу, что под ником Fxmsp предположительно скрывается житель Казахстана Андрей Т.

«Это подтверждается фактами использования одних и тех же псевдонимов, а также общими интересами, связанными с биржевыми платформами», – сказано в отчете.
Добавим, что имя Андрей всплывало в мае 2019 года в связи обсуждением атаки хакера на три ведущие антивирусные компании из США.

Специалисты Group-IB не исключили, что хакер по-прежнему может продолжать деятельность по взлому сетей. Материалы отчета переданы в международные правоохранительные органы для установления личности Fxmsp.

Ранее Group-IB сообщала, что в 2019 году количество атак вирусов-шифровальщиков увеличилось на 40% по сравнению с предыдущим годом, а размеры выкупа в этот период выросли с $8000 до $84 000.
 

Admin

#1
Администратор
Регистрация
31.12.2019
Сообщения
7,248
Реакции
34
Хакер Fxmsp заработал 1,5 млн долларов, продавая доступ к сетям компаний

Group-IB представила аналитический отчет «Fxmsp: невидимый бог сети», раскрывающий предположительную личность одного из самых активных продавцов доступов в корпоративные сети компаний, предоставлявшего свои услуги в даркнете около трех лет.

За три года злоумышленник скомпрометировал порядка 135 компаний в 44 странах мира. По минимальным оценкам прибыль Fxmsp за период его активности могла составлять 1,5 млн долларов (около 100 000 000 рублей), и это без учета продаж в «привате», лотов без указания цены, а также повторных продаж доступов в сети компаний-жертв.

graph-1-2x.jpg


Материалы по установлению предположительной личности Fxmsp уже были переданы в международные правоохранительные органы.

Несмотря на то, что Fxmsp упоминался в публичных источниках ранее, Group-IB впервые подробно описали ход расследования и факты, не обнародованные ранее. Не исключено, что хакер продолжает свою деятельность по взлому сетей компаний и все еще представляет опасность. Учитывая это, исследователи опубликовали отчет, содержащий не только данные об инструментах и тактике Fxmsp, но и свои рекомендации по защите, чтобы предотвратить новые преступления.

Эксперты Group-IB Threat Intelligence начали фиксировать рост предложений, связанных с продажей доступов к корпоративным сетям, начиная с 2017 года — с появления на хакерской сцене Fxmsp. На тот момент форумы, в основном, наводняли предложения по доступам к взломанным сайтам, единичным серверам, учетным записям. Но во второй половине 2017 года в «элитной» нише продаж доступов в корпоративные сети самым заметным игроком и абсолютным лидером по числу лотов был продавец с никнеймом Fxmsp.

Со временем он создал новый тренд в андеграундном коммьюнити, сделав продажу доступов не товаром, а сервисом — с обеспечением привилегированного доступа в сети компаний-жертв для своих клиентов.

Основная активность Fxmsp пришлась на 2018 год. После чего ниша некоторое время пустовала, а с начала 2019 года у киберпреступника появились последователи, которые сегодня ведут активную деятельность, взяв на вооружение техники Fxmsp. По данным исследования Group-IB, с начала 2020 года порядка более 40 киберпреступников промышляют «ремеслом» Fxmsp на андеграундных форумах. Суммарно за это время было выставлено более 150 лотов по продаже доступов в корпоративные сети компаний различных отраслей.*

Отчет экспертов прослеживает деятельность Fxmsp с первой регистрации на андеграундном форуме, до его исчезновения с хакерских площадок. Fxmsp не специализировался на компрометации конкретных компаний. Топ-3 его жертв составляют предприятия легкой промышленности, провайдеры IT-сервисов и ритейл. Среди атакованных Fxmsp компаний была и «крупная рыба»: так, четыре компании входят в рейтинг Global 500 | Fortune за 2019 год. В послужном списке Fxmsp присутствуют банки, ТЭК, телекоммуникационные операторы, а также организации энергетического сектора. Одна из них летом 2020 года пострадала от атаки шифровальщика. К этому времени сервисы от Fxmsp не предлагались в андеграунде уже 8 месяцев.

Вместе со своим сообщником, известным как Lampeduza, взявшим на себя рекламу и сопровождение всех сделок, в период с октября 2017 по сентябрь 2019 Fxmsp выставил на продажу доступы в 135 компаний из 44 стран мира, включая США, Россию, Англию, Францию, Италию, Нидерланды, Сингапур, Японию, Австралию и многие другие. Несмотря на негласный закон в андеграундной среде не работать «по РУ», Fxmsp продавал два лота по российским жертвам, за что был «забанен» модераторами форума, но это не остановило преступника.

map-1-2x.jpg


Своим названием отчет Group-IB обязан одному из рекламных постов Lampeduza. Завоевав авторитет в андеграундной среде, группа обзавелась постоянными клиентами. Lampeduza привлекался лишь на стадии монетизации, в то время как Fxmsp занимался всеми этапами атаки, включая сканирование IP-диапазона в поисках открытого порта RDP 3389, брутфорс, закрепление в сети и установку бэкдоров.

Никнейм Fxmsp стал широко известен в мае 2019 года после появления в СМИ новости о том, что группировка Fxmsp продает исходные коды как минимум трех неназванных антивирусных продуктов, оценивая их в 300 000 долларов. Одна из компаний позже частично признала факт компрометации, впрочем, оценивая инцидент как некритичный. Однако к моменту появления новости, Fxmsp уже закончил свою «публичную» деятельность.

Исследователи подчеркивают, что пока наиболее плодовитый «продавец доступов» вероятнее всего остается на свободе, представляя угрозу для компаний широкого диапазона отраслей независимо от того, в какой стране они находятся.

Цитата:
«Продажа доступа к корпоративным сетям все еще остается достаточно редкой услугой, которая доступна на ограниченном числе андеграундных ресурсов, в основном российских. От деятельности Fxmsp пострадали более 130 организаций по всему миру, он является одним из наиболее опасных преступников в своей среде, возможно, до сих пор продолжающим свою деятельность. Мы хотим, чтобы наше исследование позволило ускорить обнаружение и задержание преступника, скрывающегося под ником Fхmsp, и лиц, работающих с ним, и повлияло на снижение количества желающих быть его последователями. Именно поэтому мы приняли решение передать расширенную версию отчета международным правоохранительным органам и обнародовали имеющиеся материалы об инструментах и тактике Fxmsp, показав, как можно обеспечить защиту от подобных атак», — говорит CTO Group-IB Дмитрий Волков.

source: xakep.ru/2020/06/24/fxmsp/
 

Admin

#1
Администратор
Регистрация
31.12.2019
Сообщения
7,248
Реакции
34
США обвинили гражданина Казахстана в продаже краденных данных крупных ИБ-компаний

Совсем недавно специалисты Group-IB опубликовали детальный отчет, деанонимизирующий одного из самых активных продавцов доступов в корпоративные сети компаний. Известный под псевдонимом Fxmsp хакер скомпрометировал порядка 135 компаний в 44 странах мира, и по минимальным оценкам за три года активности его прибыль могла составлять 1,5 млн долларов. И это без учета продаж в «привате», лотов без указания цены, а также повторных продаж доступов в сети компаний-жертв.

Никнейм Fxmsp стал широко известен в мае 2019 года после появления в СМИ новости о том, что группировка Fxmsp продает исходные коды как минимум трех неназванных антивирусных продуктов, оценивая их в 300 000 долларов. Одна из компаний позже частично признала факт компрометации, впрочем, оценивая инцидент как некритичный. Однако к моменту появления новости, Fxmsp уже закончил свою «публичную» деятельность.

Timeline.jpg


Хроника активности Fxmsp

Теперь Министерство юстиции США обнародовало обвинительное заключение, датированное 2018 годом, в котором заочно предъявлены обвинения 37-летнему гражданину Казахстана Андрею Турчину, также известному как Fxmsp. Ранее эта информация держалась в тайне, чтобы подозреваемый не знал о том, что его разыскивают американские власти.

Эта информация полностью совпадает с анализом специалистов Group-IB, которые так же вычислили Турчина и заявили, что он, вероятно, и скрывается за псевдонимом Fxmsp. Так как после обнародования результатов расследования Group-IB хакер явно узнал о деанонимизации и расследовании, скрывать обвинительный акт более не имело смысла.

Turchin.jpg


Профиль Fxmsp, составленный исследователями

Как выяснилось, в США Турчину предъявлено пять обвинений, в том числе в сговоре с целью совершения компьютерного взлома, мошенничестве с использованием компьютера, в сговоре с целью совершения мошенничества с использованием электронных средств связи, а также в мошенничестве с устройствами доступа. Самое серьезное обвинение (сговор с целью совершения мошенничества с использованием электронных средств связи) грозит лишением свободы на срок до 20 лет.

По информации собственных источников издания Bleeping Computer, Турчин уже арестован правоохранительными органами Казахстана, хотя представители Министерства юстиции не упоминают об этом в своих заявлениях.

 

barissoylu

Banned
BAN
Регистрация
20.07.2020
Сообщения
25
Реакции
0
они смотрят отовсюду
 

Admin

#1
Администратор
Регистрация
31.12.2019
Сообщения
7,248
Реакции
34
Известный хакер Fxmsp продавал доступ к компьютерам SolarWinds в 2017 году

В прошлом году из-за ненадежного пароля доступ к серверу обновлений SolarWinds мог легко получить доступ любой злоумышленник.

За несколько лет до взлома компьютерных сетей SolarWinds, в результате которого были скомпрометированы сети нескольких федеральных правительственных агентств, один известный хакер попытался продать доступ к компьютерам компании на подпольных форумах.

Хакер, использующий псевдоним Fxmsp, был одним из нескольких человек, которые пытались продать доступ к устройствам SolarWinds на подпольных online-форумах в течение 2017 года. Источники Reuters отметили, что попытка Fxmsp продать доступ не считается «наиболее вероятной» причиной недавней атаки на цепочки поставок.

Как сообщил исследователь безопасности Винот Кумар (Vinoth Kumar), он предупреждал SolarWinds, что в прошлом году к их серверу обновлений мог легко получить доступ «любой злоумышленник», потому что пароль был установлен на «solarwinds123».

Напомним, в июле нынешнего года Министерство юстиции США предъявило обвинение киберпреступнику, использующему псевдоним Fxmsp, который продавал доступ к компьютерным системам более чем трех сотен организаций по всему миру. 37-летнему гражданину Казахстана Андрею Т. были предъявлены обвинения в заговоре с целью совершения компьютерного взлома, компьютерном мошенничестве и хакерстве, заговоре с целью совершения мошеннических действий в сети и несанкционированном доступе к устройствам.
 

Members, viewing this thread

Сейчас на форуме нет ни одного пользователя.