`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Хакер скомпрометировал около 135 компаний и заработал более 1,5 млн. долл.

+11
голос

Хакер скомпрометировал около 135 компаний и заработал более 1,5 млн. долл.

Компания Group-IB представила аналитический отчет «Fxmsp: невидимый бог сети», раскрывающий предположительную личность одного из наиболее активных продавцов доступов в корпоративные сети компаний, предоставлявшего свои услуги в даркнете около трех лет. За это время он скомпрометировал около 135 компаний в 44 странах мира. По минимальным оценкам прибыль Fxmsp за период его активности могла составить 1,5 млн. долл. Материалы по установлению предположительной личности Fxmsp переданы в международные правоохранительные органы.

Несмотря на то, что Fxmsp упоминался в публичных источниках, Group-IB впервые подробно описала ход расследования и факты, не обнародованные ранее. Не исключено, что этот хакер продолжает свою деятельность по взлому сетей компаний и все еще представляет опасность. Учитывая это, Group-IB публикует отчет, содержащий не только данные об инструментах и тактике Fxmsp, но и свои рекомендации по защите, чтобы предотвратить новые киберпреступления.

Исследуя активность на хакерских форумах более 17 лет, эксперты Group-IB Threat Intelligence зафиксировать рост предложений, связанных с продажей доступов к корпоративным сетям, начиная с 2017 г. – с появления на сцене Fxmsp. На тот момент форумы, в основном, наводняли предложения по доступам к взломанным сайтам, единичным серверам, учетным записям. Во второй половине 2017 г. в «элитной» нише продаж доступов в корпоративные сети самым заметным игроком и абсолютным лидером по числу лотов был продавец с никнеймом Fxmsp. Со временем он создал новый тренд в андеграундном сообществе, сделав продажу доступов не товаром, а сервисом – с обеспечением привилегированного доступа в сети компаний-жертв для своих клиентов.

Основная активность Fxmsp пришлась на 2018 г. После чего ниша некоторое время пустовала, а с начала 2019 г. у киберпреступника появились последователи, которые сегодня ведут активную деятельность в андеграунде, взяв на вооружение техники Fxmsp. По данным исследования Group-IB, на сегодня уже свыше 40 киберпреступников промышляют «ремеслом» Fxmsp на андеграундных форумах. Всего за это время было выставлено более 150 лотов по продаже доступов в корпоративные сети компаний различных отраслей.

Отчет Group-IB прослеживает деятельность Fxmsp с первой регистрации на андеграундном форуме, зафиксированной системой Group-IB Threat Intelligence, до его исчезновения с хакерских площадок. Fxmsp не специализировался на компрометации конкретных компаний. Топ-3 его жертв составляют госорганизации, провайдеры ИТ-сервисов и ритейл. Среди атакованных Fxmsp компаний была и «крупная рыба»: так, четыре из них входят в рейтинг Global 500 | Fortune за 2019 г. В послужном списке Fxmsp присутствуют банки, ТЭК, телекоммуникационные операторы, а также организации энергетического сектора. Одна из них летом 2020 г. пострадала от атаки шифровальщика. К этому времени сервисы от Fxmsp не предлагались в андеграунде уже 8 месяцев.

Данные, полученные в ходе исследования с использованием системы Group-IB Threat Intelligence, позволили выявить инструменты, которые использовал Fxmsp для компрометации компаний, определить – с большой степенью точности – число его жертв, а также установить предполагаемую личность киберпреступника. Отчет Group-IB поэтапно раскрывает, как из рядового пользователя даркнета, начинавшего с майнинга криптовалюты, менее чем за три года русскоязычный хакер Fxmsp, по самым скромным подсчетам, заработал около 1,5 млн. долл. – и это без учета продаж в «привате», лотов без указания цены, а также повторных продаж доступов в сети компаний-жертв.

Вместе со своим сообщником под ником Lampeduza, взявшим на себя рекламу и сопровождение всех сделок, в период с октября 2017 г. по сентябрь 2019 г. они выставили на продажу доступы в 135 компаний из 44 стран мира, включая США, Россию, Англию, Францию, Италию, Нидерланды, Сингапур, Японию, Австралию и др.

Хакер скомпрометировал около 135 компаний и заработал более 1,5 млн. долл.

Своим названием отчет Group-IB обязан одному из рекламных постов Lampeduza. Завоевав авторитет в андеграундной среде, группа обзавелась постоянными клиентами. Lampeduza привлекался лишь на стадии монетизации, в то время как Fxmsp занимался всеми этапами атаки, включая сканирование IP-диапазона в поисках открытого порта RDP 3389, брутфорс, закрепление в сети и установку бэкдоров.

Никнейм Fxmsp стал широко известен в мае 2019 г. в связи с появлением в СМИ новости о получении доступа в защищенные сети трех ведущих антивирусных компаний. Одна из них позже частично признает факт доступа, оценивая его как некритичный. К моменту появления скандальной новости, Fxmsp фактически закончил свою «публичную» деятельность. Однако до сих пор наиболее плодовитый «продавец доступов» вероятнее всего остается на свободе, представляя угрозу для компаний широкого диапазона отраслей независимо от того, в какой стране они находятся.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+11
голос

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT