Fxmsp: decenas de corporaciones al descubierto

Fxmsp: la historia no contada vendedor de acceso a redes corporativas que ganó al menos 1,5 millones de dólares americanos

Group-IB,  ha publicado un informe exhaustivo sobre Fxmsp, un peso pesado del cibersubterráneo de habla rusa que se hizo un nombre vendiendo acceso a redes corporativas.

Los investigadores del Grupo IB analizaron la actividad de Fxmsp en foros clandestinos durante aproximadamente tres años y descubrieron que el actor de la amenaza había comprometido redes de más de 130 objetivos, incluidas PYME, organizaciones gubernamentales, bancos y compañías de Fortune 500 en todo el mundo.

El informe muestra cómo la carrera cibercriminal de Fxmsp evolucionó de ser un hacker novato a uno de los principales jugadores del underground de habla rusa.

El equipo de Group-IB descubrió los TTP de Fxmsp y estableció su supuesta identidad.

A pesar de que Fxmsp ha cesado toda actividad pública, no es improbable que continúe atacando redes corporativas y vendiendo acceso a ellas.

Dados estos riesgos, Group-IB decidió publicar el informe “Fxmsp:” El Dios invisible de las redes “, comparte su versión ampliada con las agencias internacionales de aplicación de la ley y hace que sus materiales sobre las herramientas y tácticas de Fxmsp sean accesibles al público en general.

Geografía y víctimas

Fxmsp ganó fama mundial en mayo de 2019, después de que se informó que las redes pertenecientes a las principales compañías de software antivirus se habían visto comprometidas.

Sin embargo, nadie sabía hasta ahora la historia detrás de este apodo inusual y el gran volumen de los crímenes cometidos.

En solo unos tres años, Fxmsp logró acceder a las redes corporativas de 135 empresas en 44 países, incluidos los EE. UU., Rusia, Singapur, el Reino Unido y otros lugares.

Fxmsp

Fxmsp

Según las estimaciones conservadoras de los investigadores del Grupo IB, es probable que Fxmsp y su cómplice hayan ganado al menos $ 1.5 millones en todas sus operaciones.

Sin embargo, esto no incluye el 20% de las empresas a las que ofreció acceso sin nombrar el precio y las ventas que realizó a través de mensajes privados.

Se cree que sus ganancias reales son mucho más altas

Las víctimas de Fxmsp fueron principalmente empresas de la industria ligera, es decir, centradas en la pequeña producción de bienes de consumo.

Sus segundos objetivos favoritos fueron las compañías que ofrecen servicios de TI.

Cabe destacar que alrededor del 9% de las redes de víctimas pertenecían a organizaciones gubernamentales, mientras que cuatro compañías atacadas con éxito por el actor de la amenaza fueron incluidas en el ranking Fortune Global 500 en 2019.

Vale la pena señalar que a pesar del hecho de que Fxmsp detuvo toda actividad pública a fines de 2019, Group-IB descubrió que una compañía energética europea, a la que estaba vendiendo el acceso, fue víctima de un ataque de ransomware en 2020.

El Dios invisible de las redes

El Dios invisible de las redes

El sistema Threat Intelligence basado en la atribución de Group-IB permite monitorear todas las publicaciones en foros clandestinos en tiempo real y obtener acceso tanto a las publicaciones originales como a todo el historial de edición.

Por lo tanto, los investigadores de la compañía pudieron recuperar y analizar cientos de publicaciones de Fxmsp, incluidas las que había eliminado y editado, lo que le permitió examinar la historia de sus crímenes, la evolución de su personaje y establecer los métodos exactos que utilizó para comprometer las redes corporativas.

Primeros pasos

Fxmsp dio sus primeros pasos en la escena del delito cibernético en septiembre de 2016 cuando se registró en un foro subterráneo, fuckav [.] Ru.

Arrancó de muy abajo

Sus primeras publicaciones indican que Fxmsp tenía poco conocimiento sobre cómo monetizar el acceso y mantener la persistencia dentro de las redes que había comprometido.

Estaba preguntando acerca del malware criptominante persistente de propagación automática y otros troyanos por infectar redes corporativas que buscaban ayuda con los accesos que había obtenido, cometiendo una serie de errores en el camino.

Los usuarios experimentados de foros subterráneos nunca publican sus datos de contacto, solo los comparten a través de mensajes privados.

Fxmsp incluyó una de sus cuentas de Jabber, en su información de contacto en el foro que ayudó a los investigadores del Group-IB a establecer su supuesta identidad.

A principios de 2017, creó cuentas en varios otros foros de habla rusa, incluido el infame exploit [.]

Accesos al mundo

En donde reorientó su actividad y comenzó a vender acceso a redes corporativas comprometidas que luego se convertirían en su negocio principal.

El 1 de octubre de 2017, Fxmsp publicó su primer anuncio para la venta de acceso a redes corporativas.

Su primera víctima en la industria financiera fue un banco comercial en Nigeria.

Más tarde, anunciaría la venta de acceso a la red que pertenece a una cadena de hoteles de lujo, otro banco africano con una capitalización de $ 20 mil millones y muchos otros objetivos de alto perfil.

Primero en caer

Fxmsp aprendió muy rápido con la ayuda de otros miembros del foro. Muy pronto, el actor de la amenaza comenzó a hablar de piratear IBM y Microsoft.

Inflado por su éxito inicial, olvidó una regla tácita en la comunidad de piratería de habla rusa: no piratear dentro de Rusia y los países de la CEI.

Fxmsp intentó vender el acceso en Rusia y finalmente fue expulsado del foro.

El hacker aprendió su lección

Eliminó todas las ofertas vinculadas a Rusia y se levantó la prohibición.

Sin embargo, el equipo de Inteligencia de amenazas del Grupo IB pudo recuperar sus publicaciones eliminadas y descubrió que en diciembre de 2017 Fxmsp había publicado un anuncio para la venta de acceso a un cajero automático y al sitio web de la oficina de aduanas en dos ciudades rusas.

Vendedor proxy

El 17 de enero de 2018, el pirata informático compartió exactamente cuántos compradores tenía en ese momento: 18.

Fxmsp o Lampeduza

El negocio iba tan bien para Fxmsp que contrató a un usuario con un apodo Lampeduza (también conocido como Antony Moricone, BigPetya, Fivelife, Nikolay, tor .ter, andropov y Gromyko) como su gerente de ventas a principios de 2018. Lampeduza comenzó a compartir publicaciones sobre la venta de acceso a las mismas compañías que Fxmsp había mencionado anteriormente.

Promoviendo sus servicios, Lampeduza escribió en una de sus publicaciones en el foro “…

Tendrá acceso a toda la red de la compañía … Se convertirá en EL DIOS INVISIBLE DE LAS REDES …”

Durante su cooperación, los dos anunciaron la venta de acceso a 62 nuevas empresas.

El precio total de todos los accesos vendidos fue de $ 1,100,800.

A fines de octubre de 2018, la actividad de Fxmsp y Lampeduza se vio amenazada.

Resultó que estaban tratando de vender el acceso a la misma red a varios compradores diferentes.

La camarilla suspendió temporalmente su actividad en todos los demás foros y supuestamente se centró en las “ventas privadas”, es decir, comenzaron a trabajar solo con un círculo limitado de clientes.

A mediados de marzo de 2019, los conspiradores reanudaron su actividad en los foros. Nuevos mensajes sobre la venta de acceso aparecieron en varios tableros de mensajes subterráneos.

El pez grande

La actividad pública de Fxmsp culminó en abril de 2019.

Según los informes de los medios, Fxmsp había logrado comprometer las redes pertenecientes a tres proveedores de software antivirus.

Después del incidente que llegó a los titulares, en mayo de 2019, Lampeduza declaró que ya no trabajaba con Fxmsp, negó cualquier participación en el hack de alto perfil y dijo que supuestamente había suspendido su cooperación en foros clandestinos debido a la mayor atención de los medios. a Fxmsp.

Posteriormente, Lampeduza desapareció una vez más de los foros por un tiempo

Pero lo más probable es que continuara vendiendo los accesos proporcionados por Fxmsp a través de mensajes privados a clientes habituales.

El 17 de diciembre de 2019, Lampeduza confirmó a los usuarios del foro que Fxmsp había detenido su actividad.

“Fxmsp es uno de los vendedores más prolíficos de acceso a redes corporativas en la historia del clandestino cibercriminal de habla rusa que anunció públicamente el acceso a 135 empresas, lo que le proporcionó más USD 1,5 millones en ganancias”, comenta Dmitry Volkov, director de tecnología de Group -IB.

Cuando el crimen es tendencia

“Estableció una tendencia y su éxito inspiró a muchos otros a seguir su ejemplo: el número de vendedores de acceso a redes corporativas aumentó en un 92% en H2 2019 frente a H1 2017, cuando Fxmsp ingresó al mercado.

Antes de que Fxmsp se uniera al subsuelo, los vendedores ofrecerían acceso RDP a servidores separados, sin siquiera molestarse en garantizar la persistencia o realizar un reconocimiento en la red.

Fxmsp llevó este servicio a un nivel completamente nuevo.

A pesar de los métodos bastante simplistas que utilizó, Fxmsp logró obtener acceso a compañías de energía, organizaciones gubernamentales e incluso algunas empresas de Fortune 500.

De hecho, Fxmsp había terminado todas las operaciones públicas, sin embargo, no es improbable que continúe haciendo ofertas privadas que representan una amenaza para las empresas en muchas industrias, independientemente de su ubicación.

A la luz de esto, Group-IB decidió publicar este informe, hacer que nuestros materiales sobre los TTP de Fxmsp sean accesibles al público y proporcionar recomendaciones para ayudar a las empresas a protegerse contra los tipos de ataques realizados por Fxmsp y ciberdelincuentes similares.

Esperamos que nuestra investigación ayude a localizar y arrestar al actor de la amenaza que se esconde detrás del apodo Fxmsp y sus cómplices, por lo que hemos compartido la versión ampliada del informe con las agencias internacionales de aplicación de la ley “.

TTP

Las huellas digitales que Fxmsp dejó en la primera etapa de su carrera, permitieron al equipo de Inteligencia de Amenazas de Group-IB establecer su conjunto de herramientas y métodos.

En la mayoría de los casos, Fxmsp utiliza un enfoque muy simple pero efectivo.

Analiza un rango de direcciones IP en busca de ciertos puertos abiertos para identificar puertos abiertos RDP (protocolo de escritorio remoto), particularmente 3389.

Luego, realiza ataques de fuerza bruta en el servidor de la víctima para adivinar la contraseña RDP.

Después de obtener acceso al dispositivo de destino, Fxmsp generalmente deshabilita el software antivirus y el firewall existentes, y luego crea cuentas adicionales.

Luego, usa la carga útil de Meterpreter en los servidores como puerta trasera.

El propio Fxmsp señaló en sus publicaciones que, al instalar puertas traseras, establecía un intervalo largo para las conexiones con los servidores de C&C: una vez cada 15 días.

Una vez que se obtiene el acceso, Fxmsp recolecta los volcados de todas las cuentas y los descifra.

Finalmente, infecta las copias de seguridad instalando puertas traseras

Incluso si la víctima nota actividades sospechosas en el sistema, lo más probable es que cambien passwords y realizar una reversión a la copia de seguridad, que ya se ha visto comprometida.

Este enfoque le permite mantener la persistencia y pasar desapercibido durante mucho tiempo.

Recomendaciones

Al momento de escribir, Fxmsp ya no realiza actividades públicas. Sin embargo, es incierto si todavía está entrando en las redes de la compañía y continúa haciendo ofertas privadas.

Dados los riesgos, consideramos esencial ofrecer recomendaciones universales sobre cómo prevenir ataques que tengan similitudes con los realizados por Fxmsp.

Fxmsp utiliza puertos RDP abiertos como el vector de ataque inicial, por lo tanto, el puerto RDP predeterminado 3389 se puede editar cambiándolo a cualquier otro.

Como los atacantes generalmente necesitan varios intentos de contraseñas de fuerza bruta y obtener acceso al RDP, es importante habilitar las políticas de bloqueo de cuentas limitando el número de intentos fallidos de inicio de sesión por usuario.

Otro elemento importante para garantizar la resistencia contra este tipo de ataque es monitorear constantemente la red oscura en busca de datos comprometidos relacionados con su empresa.

Las soluciones de inteligencia de amenazas permiten a las organizaciones mitigar riesgos y daños adicionales al identificar rápidamente los registros robados y rastrear el origen de la violación.

Mientras que los sistemas especializados de detección de amenazas permiten descubrir intrusiones no deseadas, anomalías de tráfico dentro de la red corporativa e intentos de obtener acceso no autorizado a cualquier dato.

 

Por Marcelo Lozano – General Publisher IT Connect Latam