Специалисты Group-IB раскрыли предполагаемую личность русскоязычного хакера Fxmsp, который в течение трех лет продавал в даркнете доступы в корпоративные сети международных компаний. Об этом говорится в аналитическом отчете компании «Fxmsp: невидимый бог сети».
Вместе со своим сообщником под ником Lampeduza, взявшим на себя рекламу и сопровождение всех сделок, в период с октября 2017 по сентябрь 2019 хакер скомпрометировал порядка 135 компаний в 44 странах мира. Четыре из атакованных Fxmsp компаний входят в рейтинг Global 500 журнала Fortune за 2019 год. По минимальным оценкам, прибыль злоумышленника составила $1,5 млн.
Первая активность хакера была зафиксирована в 2017 году. Он начинал с установки скрытых майнеров для добычи криптовалюты Monero на сервера своих жертв, а затем переключился на взлом корпоративных сетей.
Fxmsp самостоятельно занимался всеми этапами атаки, включая сканирование IP-диапазона в поисках открытого порта RDP 3389 для удаленного рабочего стола, брутфорс, закрепление в сети и установку бэкдоров.
«Во второй половине 2017 года в «элитной» нише продаж доступов в корпоративные сети Fxmsp был самым заметным игроком и абсолютным лидером по числу лотов», – рассказывают в Group-IB.
Основная активность Fxmsp пришлась на 2018 год, после чего ниша некоторое время пустовала, а с начала 2019 года у киберпреступника появились последователи. По данным Group-IB, с начала 2020 года более 40 киберпреступников применяют техники Fxmsp.
Проанализировав почтовые адреса хакера, его аккаунты в Jabber, Skype и на андеграундных форумах, а также связанные домены, специалисты Group-IB пришли к выводу, что под ником Fxmsp предположительно скрывается житель Казахстана Андрей Т.
«Это подтверждается фактами использования одних и тех же псевдонимов, а также общими интересами, связанными с биржевыми платформами», – сказано в отчете.
Добавим, что имя Андрей всплывало в мае 2019 года в связи обсуждением атаки хакера на три ведущие антивирусные компании из США.
Специалисты Group-IB не исключили, что хакер по-прежнему может продолжать деятельность по взлому сетей. Материалы отчета переданы в международные правоохранительные органы для установления личности Fxmsp.
Ранее Group-IB сообщала, что в 2019 году количество атак вирусов-шифровальщиков увеличилось на 40% по сравнению с предыдущим годом, а размеры выкупа в этот период выросли с $8000 до $84 000.
Источник