AdvIntel
En un informe publicado el jueves, los investigadores de la compañía de investigación de amenazas Advanced Intelligence (AdvIntel) revelaron que un colectivo de piratas informáticos de habla rusa e inglesa está comercializando activamente el botín de las violaciones de datos en tres proveedores de software antivirus con sede en EE. UU. El colectivo, que se autodenomina «Fxmsp», vende tanto el código fuente como el acceso a la red a las empresas por 300.000 dólares y proporciona muestras que muestran una fuerte evidencia de la validez de sus afirmaciones.
Yelisey Boguslavskiy, directora de investigación de AdvIntel, le dijo a Ars que su empresa notificó a «las posibles entidades víctimas» de la violación a través de organizaciones asociadas; también proporcionó los detalles a las fuerzas del orden de EE. UU. En marzo, Fxmsp ofreció los datos “a través de una conversación privada”, dijo Boguslavskiy. “Sin embargo, afirmaron que sus vendedores proxy anunciarán la venta en los foros”.
Fxmsp tiene una reputación bien conocida en la comunidad de seguridad por vender acceso a infracciones, centrándose en grandes empresas globales y organizaciones gubernamentales. El grupo fue señalado en un informe de FireEye de 2023 sobre delitos en Internet por vender acceso a redes corporativas en todo el mundo, incluida una violación global de un grupo hotelero de lujo, potencialmente vinculada a la violación de Marriott/Starwood revelada en noviembre pasado. Los investigadores de AdvIntel dicen que el grupo ha vendido «violaciones corporativas verificables», obteniendo ganancias cercanas a $ 1 millón. En los últimos dos años, Fxmsp ha trabajado para crear una red de revendedores proxy para promover y vender el acceso a la colección de infracciones del grupo a través de mercados criminales.
En marzo, el grupo «afirmó que podían proporcionar información exclusiva robada de tres de las principales empresas de antivirus ubicadas en los Estados Unidos», informaron los investigadores de AdvIntel en una publicación de blog que se publicará hoy. “Confirmaron que tienen un código fuente exclusivo relacionado con el desarrollo de software de las empresas”. Y el grupo ofreció de manera privada vender el código fuente y el acceso a la red a las tres empresas por “más de $300,000”, dijeron los investigadores.
Adv Intel LLC
Según el informe de AdvIntel, Fxmsp había logrado robar el código fuente que incluía código para agentes antivirus, código analítico basado en aprendizaje automático y «complementos de seguridad» para navegadores web. “Fxmsp también comentó sobre las capacidades del software de las diferentes empresas y evaluó su eficiencia”, escribieron los investigadores.
En el pasado, las infracciones de Fxmsp generalmente se enfocaban en explotar el protocolo de escritorio remoto (RDP) conectado a Internet y los servidores de Active Directory. Pero más recientemente, el grupo afirmó haber desarrollado una red de bots que roba credenciales (malware que recopila nombres de usuario y contraseñas) para apuntar a redes de alto valor que están mejor protegidas. “Fxmsp ha afirmado que desarrollar esta botnet y mejorar sus capacidades para robar información de sistemas protegidos es su principal objetivo”, señalaron los investigadores de AdvIntel.
Actualizar:
Boguslavskiy proporcionó algunos detalles adicionales sobre la investigación de la infracción en respuesta a las preguntas de seguimiento (y algunos de los comentarios sobre esta historia). Dijo que AdvIntel primero notificó al FBI «a través de Cyber Watch y el Cyber Task Force de Nueva York».
le dijo a Ars que en octubre de 2023, Fxmsp «tuvo un conflicto con su vendedor proxy y esta relación se vio comprometida». Dado que el proxy supervisó las cuentas de Fmsp en los diversos foros a través de los cuales el grupo solía vender sus datos, Fxmsp movió todas sus comunicaciones a la mensajería instantánea de Jabber.
El 5 de mayo, Boguslavskiy dijo: «Fxmsp declaró que uno de los dos equipos que orquestaron el ataque contra las empresas AV comprometió un acceso [point] mientras navega por el directorio de clientes de una víctima». Los piratas informáticos están tratando de recuperar el acceso. Esto puede haber interrumpido sus planes originales para vender los datos.
«Según ellos, planearon ofrecer accesos para algunas de las empresas a mediados de mayo», dijo Boguslavskiy, «muy probablemente, mediante el uso de foros (sin embargo, esto no está confirmado: usaron el término ‘hacer una venta pública’) .» Pero debido al compromiso de un punto de acceso, señaló, el grupo ahora planea continuar haciendo ofertas privadas de los datos, con la posibilidad de que las ofertas para las otras compañías puedan aparecer en los foros a finales de este mes.
Imagen del listado por TimeStopper | imágenes falsas
