Un gruppo di hacker russo noto come Fxmsp ha messo in vendita l’accesso alle reti di almeno tre società di antivirus negli Stati Uniti e il codice sorgente del loro software.
Un grave smacco quello portato a segno da Fxmsp, gruppo hacker russo specializzato in attacchi nei confronti di obiettivi di alto profilo, quali aziende ed agenzie governative.
Il gruppo sta cercando di vendere l’accesso alle singole società produttrici di antivirus per $ 250.000 e chiede $ 150.000 per il codice sorgente dei software. Gli acquirenti possono anche pagare $ 300.000 per acquistare l’intero pacchetto con l’eccezione che il prezzo potrebbe salire in base alle informazioni di una delle 3 società scelte.
“Gli esperti di AdvIntel ritengono che Fxmsp sia un collettivo di hacking credibile con una storia di vendite di violazioni aziendali verificabili che hanno garantito loro un profitto vicino a $ 1.000.000 USD. AdvIntel ha allertato le forze dell’ordine riguardo queste intrusioni” riferisce l’azienda AdvIntel.
Fxmsp è solito compromettere i sistemi Active Directory delle organizzazioni vittime degli attache e garantire l’accesso esterno tramite connessioni RDP (Remote Desktop Protocol).
Vedi anche Nuova vulnerabilità in Windows scoperta che utilizza il protocollo RDP
Recentemente il gruppo sta sostenendo di aver sviluppato una botnet che ruba credenziali ed in grado di infettare obiettivi di alto profilo ed estrarre dati sensibili, incluse le credenziali di accesso.
Dalle informazioni in possesso di CybersecurityStartUp sembrerebbe che il gruppo hacker stia offrendo 30 terabyte di dati presumibilmente rubati dalle reti delle aziende hackerate.
L’assenza del gruppo da più di un anno dalla scena del cybercrime aveva destato qualche sospetto. Gli stessi infatti confermano che l’operazione ha richiesto be 1 anno di lavoro. Come conferma AdvIntel “l’attacco ad aziende antivirus sembra essere stato l’obiettivo principale delle ultime intrusioni del gruppo Fxmps. L’attore malevolo ha sostenuto che gli attacchi alle aziende produttrici di antivirus sono parte del loro progetto principale negli ultimi sei mesi, che si collega direttamente con il periodo di sei mesi durante il quale erano rimasti in silenzio e lontani dai forum underground che normalmente frequentavano. Questo periodo è iniziato con la loro apparente scomparsa nell’ottobre 2018 e si è concluso con il loro ritorno nell’aprile 2019.”
La compromissione dei codici di rete delle aziende consente a chi ne verrà in possesso di eludere e bypassare i sistemi di monitoraggio e avere pieno accesso ai dispositivi da compromettere.
Fonte: Cybersecurity Startupitalia
