Redacción 12 mayo, 2019
Fxmsp

Fxmsp el colectivo de piratería de habla rusa e inglesa de alto nivel, violan a tres compañías antivirus importantes de origen americano

Fxmsp es un colectivo de hacking de alto perfil de habla rusa e inglesa. Se especializan en violar las redes protegidas de alta seguridad para acceder a información privada corporativa y gubernamental.

Tienen una reputación de larga data por vender información confidencial de entidades corporativas y gubernamentales de alto perfil.

En marzo de 2019, Fxmsp declaró que podían proporcionar información exclusiva robada a las tres principales compañías antivirus ubicadas en los Estados Unidos.

Confirmaron que tienen un código fuente exclusivo relacionado con el desarrollo de software de las empresas. Están ofreciendo venderlo y acceder a la red por más de $ 300,000 USD.

AdvIntel les cree

Los expertos en materia de AdvIntel evalúan con gran confianza que Fxmsp es un colectivo de piratería creíble con un historial de ventas de violaciones corporativas verificables que les devuelven ganancias cercanas a los $ 1,000,000 USD.

AdvIntel ya alertó a la policía sobre estas intrusiones, que generaron un alto impacto en el mercado global de seguridad.

Contexto

Fxmsp es un colectivo de piratería que ha operado en varias comunidades clandestinas de habla inglesa y rusa de primer nivel desde 2017.

Son conocidos por apuntar a redes corporativas y gubernamentales de todo el mundo.

Tácticas, Técnicas y Procedimientos (TTPs)

A lo largo de 2017 y 2018, Fxmsp estableció una red de revendedores de proxy confiables para promover sus violaciones en el criminal clandestino. Algunos de los TTP Fxmsp conocidos incluían el acceso a entornos de red a través de servidores de protocolo de escritorio remoto (RDP) disponibles externamente y un directorio activo expuesto.

Más recientemente, el actor afirmó haber desarrollado una red de bots de robo de credenciales capaz de infectar objetivos de alto perfil para eliminar nombres de usuario y contraseñas confidenciales.

Fxmsp ha afirmado que desarrollar esta botnet y mejorar sus capacidades para robar información de sistemas seguros es su principal objetivo.

24 de abril de 2019

Fxmsp afirmó haber asegurado el acceso a tres compañías líderes en antivirus.

Según el colectivo de piratería, trabajaron incansablemente durante el primer trimestre de 2019 para violar a estas compañías y finalmente tuvieron éxito y obtuvieron acceso a las redes internas de las compañías.

El colectivo extrajo código fuente sensible de software antivirus, AI y complementos de seguridad pertenecientes a las tres compañías.

Además Fxmsp también comentó sobre las capacidades del software de las diferentes compañías y evaluó su eficiencia.

El colectivo proporcionó una lista de indicadores específicos a través de los cuales es posible identificar a la compañía incluso cuando un vendedor no revela su nombre.

Fxmsp ofreció capturas de pantalla de carpetas que supuestamente contenían 30 terabytes de datos, que supuestamente extrajeron de estas redes.

Las carpetas parecen contener información sobre la documentación de desarrollo de la compañía, el modelo de inteligencia artificial, el software de seguridad web y el código base del software antivirus.

Motivación detrás de las infracciones a las compañías de antivirus

El objetivo principal de las últimas intrusiones de red de Fxmps parece ser el objetivo principal de las compañías antivirus.

El actor afirmó que la investigación de violación de antivirus ha sido su proyecto principal en los últimos seis meses, que se correlaciona directamente con el período de seis meses durante el cual permanecieron en silencio en los foros clandestinos donde normalmente publican.

Este período comenzó con su desaparición aparente en octubre de 2018 y concluyó con su regreso en abril de 2019.

Las Atribución detrás de Fxmsp Moniker

Además según «ShadowRunTeam», un actor de amenazas ruso de alto perfil que opera en Telegram, Fxmsp es un residente de Moscú con el nombre de «Andrey» que comenzó a participar en actividades de ciberdelito a mediados del 2000 y se especializó en ingeniería social.

Los expertos en la materia evalúan con gran confianza que Fxmsp es un colectivo de piratería creíble que tiene un historial de venta de violaciones corporativas verificables que les devuelven ganancias cercanas a los $ 1,000,000 USD.

AdvIntel ya alertó a la policía estadounidense sobre las supuestas intrusiones,

Recomendaciones y posible mitigación

El monitoreo y la revisión del perímetro de la red para cualquier servidor de Protocolo de escritorio remoto (RDP) expuesto externamente y Active Directory (AD) pueden reducir la exposición a los dos vectores de ataque iniciales conocidos.

El uso de parches robustos e higiene de seguridad, así como el monitoreo de los mensajes de correo electrónico de pesca submarina pueden ayudar a identificar las advertencias tempranas vinculadas al entorno de vectores de ataque más nuevo de Fxmsp.

Además puede segregar y proteger los entornos de desarrollo de código fuente sensibles del acceso a la red principal puede frustrar los intentos de exfiltrar la propiedad intelectual de la red.

En definitiva, la seguridad es cada día un problema mayor que afecta a la economía global, llegará el día en el cual las acciones de las empresas estén atadas al nivel de seguridad que ofrezcan a su información, el riesgo no tiene fronteras.

 

Por Marcelo Lozano – General Publisher IT Connect Latam