AyteN
New member
За три годазлоумышленникскомпрометировал порядка 135 компаний в44странах мира. Поминимальным оценкам прибыль Fxmsp запериод его активности могла составлять 1,5 млн долларов (около 100000 000 рублей), иэто без учета продаж в«привате», лотов без указания цены, атакже повторных продаж доступов всети компаний-жертв.
Материалы поустановлению предположительной личности Fxmsp уже были переданы вмеждународные правоохранительные органы.
Несмотря нато, что Fxmsp упоминался впубличных источниках ранее, Group-IB впервые подробно описали ход расследования ифакты, необнародованные ранее. Неисключено, что хакерпродолжает свою деятельность повзлому сетей компаний ивсе еще представляет опасность. Учитывая это, исследователи опубликовали отчет, содержащий нетолько данные обинструментах итактике Fxmsp, ноисвои рекомендации позащите, чтобы предотвратить новые преступления.
ЭкспертыGroup-IB Threat Intelligenceначали фиксировать рост предложений, связанных спродажей доступов ккорпоративным сетям, начиная с2017 года— споявления нахакерской сцене Fxmsp. Натот момент форумы, восновном, наводняли предложения подоступам квзломанным сайтам, единичным серверам, учетным записям. Но вовторой половине 2017 года в«элитной» нише продаж доступов вкорпоративные сети самым заметным игроком иабсолютным лидером почислу лотов был продавец сникнеймом Fxmsp.
Современем онсоздал новый тренд вандеграундном коммьюнити, сделав продажу доступов нетоваром, асервисом— собеспечением привилегированного доступа всети компаний-жертв для своих клиентов.
Основная активность Fxmsp пришлась на2018год. После чего ниша некоторое время пустовала, асначала 2019 года укиберпреступника появились последователи, которые сегодня ведут активную деятельность, взяв навооружение техники Fxmsp. Поданным исследования Group-IB, сначала 2020 года порядка более 40киберпреступников промышляют «ремеслом» Fxmsp наандеграундных форумах. Суммарно заэто время было выставлено более 150 лотов попродаже доступов вкорпоративные сети компаний различных отраслей.
Отчет экспертов прослеживает деятельность Fxmsp спервой регистрации наандеграундном форуме, доего исчезновения схакерских площадок. Fxmsp неспециализировался накомпрометации конкретных компаний. Топ-3 его жертв составляют предприятия легкой промышленности, провайдеры IT-сервисов иритейл. Среди атакованных Fxmsp компаний была и«крупная рыба»: так, четыре компаниивходят врейтинг Global 500| Fortune за2019год. Впослужном списке Fxmsp присутствуют банки, ТЭК, телекоммуникационные операторы, атакже организации энергетического сектора. Одна изних летом 2020 года пострадала отатаки шифровальщика. Кэтому времени сервисы отFxmsp непредлагались вандеграунде уже 8месяцев.
Вместе сосвоим сообщником, известным как Lampeduza, взявшим насебя рекламу исопровождение всех сделок, впериод соктября 2017 посентябрь 2019 Fxmsp выставил напродажу доступы в135 компаний из44стран мира, включая США, Россию, Англию, Францию, Италию, Нидерланды, Сингапур, Японию, Австралию имногие другие. Несмотря нанегласный закон вандеграундной среде неработать «поРУ», Fxmsp продавал два лота пороссийским жертвам, зачто был «забанен» модераторами форума, ноэто неостановило преступника.
Своим названием отчет Group-IB обязан одному изрекламных постов Lampeduza. Завоевав авторитет вандеграундной среде, группа обзавелась постоянными клиентами. Lampeduza привлекался лишь настадии монетизации, втовремя как Fxmsp занимался всеми этапами атаки, включая сканирование IP-диапазона впоисках открытого порта RDP 3389, брутфорс, закрепление всети иустановку бэкдоров.
Никнейм Fxmsp стал широко известен вмае 2019 года после появления в СМИо том, чтогруппировка Fxmsp продает исходные коды как минимум трех неназванных антивирусных продуктов, оценивая их в 300 000 долларов. Одна изкомпаний позже частичнофакт компрометации, впрочем, оценивая инцидент как некритичный. Однако кмоменту появления новости, Fxmsp уже закончил свою «публичную» деятельность.
Исследователи подчеркивают, что пока наиболее плодовитый «продавец доступов» вероятнее всего остается насвободе, представляя угрозу для компаний широкого диапазона отраслей независимо оттого, вкакой стране они находятся.
«Продажа доступа ккорпоративным сетям все еще остается достаточно редкой услугой, которая доступна наограниченном числе андеграундных ресурсов, восновном российских. Отдеятельности Fxmsp пострадали более 130 организаций повсему миру, онявляется одним изнаиболее опасных преступников всвоей среде, возможно, досих пор продолжающим свою деятельность. Мыхотим, чтобы наше исследование позволило ускорить обнаружение изадержание преступника, скрывающегося под ником Fхmsp, илиц, работающих сним, иповлияло наснижение количества желающих быть его последователями. Именно поэтому мыприняли решение передать расширенную версию отчета международным правоохранительным органам иобнародовали имеющиеся материалы обинструментах итактике Fxmsp, показав, как можно обеспечить защиту отподобных атак», — говорит CTO Group-IB Дмитрий Волков.