Специализирующаяся на расследовании киберпреступлений компания Group-IB 23 июня заявила, что обнаружила, или почти обнаружила того, кто будучи анонимом, стал очень известен в сети и в корпоратичном секторе. За 3 года скромный пользователь даркнета (сегмента интернета с повышенной степенью анонимности, использующегося для нелегальных мероприятий), начинавший с майнинга криптовалют, смог заработать, по самым скромным подсчетам, $1,5 млн или 100 млн рублей. Правда, для этого ему пришлось сменить профиль. Русскоязычный хакер, известный под никнеймом Fхmsp стал настоящей грозой корпораций: он взламывал корпоративные сети компаний и продавал доступ к ним сторонним пользователям.
Начиная с 2017 года эксперты Group-IB Threat Intelligence стали фиксировать в сети рост предложений, связанных с продажей доступов к корпоративным сетям — на хакерскую сцену вышел Fхmsp. До него форумы, в основном, наводняли предложения по доступам к взломанным сайтам, единичным серверам, учетным записям. Однако появление новой «звезды даркнета» было ознаменовано появлением нового тренда: этот хакер сделал продажу доступов не товаром, а настоящим сервисом, с обеспечением привилегированного доступа в сети компаний-жертв для своих клиентов.
Удар по всем фронтам
С октября 2017 по сентябрь 2019 Fхmsp и его сообщник, скрывающийся под ником Lampeduza (он взял на себя рекламную поддержку преступного проекта и сопровождение всех сделок), выставили на продажу доступы в 135 компаний из 44 стран мира, включая США, Россию, Англию, Францию, Италию, Нидерланды, Сингапур, Японию, Австралию и многие другие. Чаще всего атакам этого киберпреступника подвергались предприятия легкой промышленности, госорганизации, провайдеры IT-сервисов и ритейл. 4 жертвы Fxmsp входят в рейтинг “Global 500 | Fortune” за 2019 год. В послужном списке Fxmsp — банки, ТЭК, телекоммуникационные операторы, а также организации энергетического сектора. Одна из них летом 2020 года пострадала от атаки шифровальщика. К этому времени сервисы от Fxmsp не предлагались в андеграунде уже 8 месяцев.
При этом широкую известность «невидимый бог сети» (так Fхmsp назвал его сообщник Lampeduza) приобрел после инцидента, произошедшего в мае 2019 года. В сети была выставлена на продажу информация, похищенная у трех американских антивирусных титанов: Symantec, Trend Micro и McAfee. За предоставление доступа к их корпоративным сетям и похищенную информацию злоумышленники просили более $300 тыс.
Найти и отконнектить
К моменту скандала с американскими компаниями Fхmsp уже практически завершил свою «публичную» деятельность, отмечают в Group-IB. Однако он успел обзавестись последователями и подражателями, взявшими на вооружение техники своего «гуру». Да и угроза в лице самого Fхmsp никуда не делась, подчеркивают эксперты.
«Продажа доступа к корпоративным сетям все еще остается достаточно редкой услугой, которая доступна на ограниченном числе андеграундных ресурсов, в основном российских», — поясняет руководитель отдела исследования киберпреступности Group-IB Дмитрий Шестаков, — «От деятельности Fxmsp пострадали более 130 организаций по всему миру, он является одним из наиболее опасных преступников в своей среде, возможно, до сих пор продолжающим свою деятельность», — передает пресс-служба компании его слова.
Данные, полученные в ходе исследования с использованием системы Group-IB Threat Intelligence, позволили выявить инструменты, которые использовал Fxmsp для компрометации компаний, определить, с большой степенью точности, число его жертв, а также установить предполагаемую личность киберпреступника. Полученную информацию эксперты уже предоставили международным правоохранительным органам.
Кроме того, специалисты по кибербезопасности обнародовали имеющиеся материалы об инструментах и тактике Fxmsp, показав, как можно обеспечить защиту от подобных атак. Ведь пока злоумышленник гуляет на свободе, вооружить против него эксперты могут, только предупредив его потенциальных жертв.
Источник: