Inicio Ciberactivismo Hackers FXMSP se hace con datos de 3 empresas antivirus americanas

FXMSP se hace con datos de 3 empresas antivirus americanas

7 minuto leer
0
0
118
Estos ataques parecen estar relacionados con casos similares anteriores, desde el hacking de Symantec y el APT de Kaspersky.

Introducción

Desde que se conoció la noticia de que el grupo de hackers rusos conocidos como “fxmsp” hackeó a tres empresas antivirus norteamericanas y que vendían el acceso a ellas y a su código fuente en la “Dark Web”, muchos han querido saber de qué empresas se trataba y si estos rumores eran ciertos. La incertidumbre creció, sin embargo, nadie se pronunció al respecto.

Ha prevalecido el silencio y la falta de transparencia ante un acto que algunos han tachado de falso sólo porque la empresa que dio a conocer el hackeo “Advanced Intelligence” (AdvIntel) es de muy reciente creación.

A pesar de que los usuarios de estos programas de seguridad podrían, por lo tanto, ser vulnerables a toda clase de ataques (especialmente los objetivos más apetitosos para los compradores potenciales), han tenido que esperar a que, desde foros “underground” rusos donde se mueven “fxmsp”, se hablara de los tres nombres. Se trataría de McAfee, Symantec y TrendMicro.

Aquí hay unas comunicaciones de venta entre los hackers y sus potenciales compradores con traducción:

Fxmsp Chateando en Ruso

(1:26:03) uwerty5411(@exploit.im: I already have outcomes
(1:26:23)
plz? same price?
                    : can throw a screen,
(1:27:17) uwerty5411@exploit.im: there are 350 developments of the company, antivirus, kernels, artificial intelligence, web protection, panels, everything that a company has, even those developments that only large corporations
(1:27:26)
                    : Okay, you can without
                    screenshots, this is too much
((1:27:29) uwerty5411@exploit.im: the same price
((1:28:07) uwerty5411@exploit.im: screenshots are meaningless, but I can show through AnyDesq
(17:29:27) fxmsp: if 100-200 then McAfee
(17:29:36) fxmsp: if 50-100 the Norton
(17:29:44) fxmsp: if 300-350 the trend
                    developments?
(17:30:09) fxmsp: number of files
(17:30:37) fxmsp: sorts of concept extensible
((17:31:22) fxmsp: each antivirus has its own development on past antiviruses, there is are web building versions, there are all sorts of utilities, such as a TeamViewer
(17:31:49) fxmsp: there are antiviri under POS terminals
(17:31:58) fxmsp: mail them a crapload of antivirals each

En esta dirección hay un completo análisis de sus comunicaciones y ventas.

Material de Fxmsp disponible de la Dark Web

El acceso a este material sensible ya tiene precio en la “Dark Web”: Código fuente y un acceso remoto por unos 300.000 dólares.

Los intrusos, que cuentan con una estructura y conocimientos muy altos, se dividen en dos grupos de ataque y han logrado desarrollar una “botnet” portadora de un malware capaz de infectar objetivos de alto nivel y extraer las credenciales sensibles.

FXMSP tiene una conocida reputación atacando servidores “Active Directory” y el protocolo de escritorio remoto de Microsoft de objetivos con información de relevancia, tales como grandes corporaciones y gobiernos. El grupo se ha visto envuelto en los últimos años en diversos ataques importantes como la brecha que sufrió la red corporativa de Marriot/Starwood en 2018.

“AdvIntel” ha dado a conocer que las ganancias de este grupo son cercanas al millón de dólares. Han estado creando su propia red de vendedores que son los responsables de promocionar y vender la información hackeada por diferentes foros de hacking rusos.

Aviso pertinente al FBI

Para aclarar todo este suceso y cómo actuó “AdvIntel”, el director de “Advanced Intelligence”, Yelisey Boguslavskiy, ha declarado que en primer lugar se informó a la FBI a través de la “New York Cyber Task Force” y “Cyber Watch”. También han aclarado ciertos aspectos técnicos sobre la detección del ataque.

Han explicado que, en octubre de 2018, FXMSP, tuvo un problema con uno de sus proveedores “proxy” y que este impedimento hizo necesaria la utilización de sistema de mensajería “Jabber” dentro de la organización hacker.

El 5 de mayo, mientras FXMSP se movía por el “directorio activo” de una de las compañías antivirus, fue detectado un punto de acceso que utilizaban. Esto pudo detener su intención de vender el acceso remoto. Ahora tratan de volver a ganar acceso de nuevo, pero ya no difundirán sus ventas y actividades tan abiertamente.

Debido a la difusión de la noticia del ataque por las redes sociales, los hackers han decidido continuar ofreciendo los datos de forma privada.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Mira además

Ghost Squad Hackers frustra posible atentado de ISIS para Navidad en USA

Según informó el 11 de diciembre de 2017 la web thefreethoughtproject.Com, en un conciso a…