Hackers venden acceso y código fuente de compañías antivirus

0
623
views

Un hacker o grupo de hackers ofrece acceso a las redes de al menos tres compañías de antivirus en los EE. UU. Y el código fuente de sus productos de software.

El precio inicial inicial fue de $ 250,000 para acceso a la informacion y $ 150,000 para el código fuente, pero estaban listos para venderlos por al menos $ 300,000, dependiendo de la compañía de antivirus en la que esté interesado el comprador.

Esta oferta fue para cada compañía individual y no es un precio fijo. Podría llegar a $ 1 millón para un acceso. Todavía se está discutiendo una oferta definitiva con los intermediarios.

Reclamando 30 terabytes de datos robados

En marzo, un actor que se hacía llamar Fxmsp anunció a los miembros de comunidades clandestinas criminales que podían proporcionar información exclusiva robada de las principales compañías antivirus ubicadas en los Estados Unidos.

A finales de abril, Fxmsp dijo que después de un arduo trabajo durante el primer trimestre de 2019, lograron romper las redes de las compañías y tenían acceso seguro a largo plazo.

Ofrecieron capturas de pantalla de carpetas que supuestamente contenían 30 terabytes de datos, alegando que se extrajeron de las redes dañadas.

“Las carpetas parecen contener información sobre la documentación de desarrollo de la compañía, el modelo de inteligencia artificial, el software de seguridad web y el código base del software antivirus”, señala la empresa de seguridad AdvIntel en un informe publicado hoy.

Yelisey Bogulsavskiy, directora de investigación de seguridad de AdvIntel, dijo a BleepingComputer que Fxmsp supuestamente comprometió el Active Directory (AD) de al menos una empresa y estableció la persistencia a través de un servidor externo de Protocolo de escritorio remoto (RDP).

AD es la parte más crítica de una red de Windows, ya que el servidor es responsable de autenticar y autorizar a todos los usuarios y computadoras en la red; También es donde se definen las políticas de seguridad para todos los sistemas que administra.

Esta táctica ha sido utilizada por la pandilla Carbanak contra bancos de todo el mundo. Fue descubierto por investigadores de la amenaza Kaspersky en un banco en Rusia.

Según Bogulsavskiy, Fxmsp nombró a tres de sus víctimas y afirmó que habían comprometido a una cuarta empresa de antivirus, pero no reveló su nombre.

El actor se oscurece, reaparece con una bolsa de regalos.

“El actor afirmó que la investigación de violación de antivirus ha sido su proyecto principal en los últimos seis meses, que se relaciona directamente con el período de seis meses durante el cual permanecieron en silencio en los foros clandestinos donde normalmente publican”, dice AdvIntel.

Según la compañía de prevención de fraudes con sede en Nueva York, Fxmsp desapareció de los foros clandestinos en octubre de 2018 y regresó en abril de este año.

Fxmsp parece ser un grupo de hackers que habla ruso e inglés. Están especializados en apuntar a redes corporativas y gubernamentales en todo el mundo. En un post en febrero de 2018 que encontramos en un foro clandestino, el actor anunció el acceso a las redes corporativas de una empresa, que incluía entradas de cuenta para todos los empleados, “desde personal de limpieza hasta el presidente”.

La monetización de los datos de acceso se realiza a través de vendedores de proxys que atraen a compradores de foros criminales tanto rusos como ingleses. Aunque solo venden a un comprador, Bogulsavskiy nos dijo que Fxmsp es conocido por revender secretamente sus “productos”.

La actividad de los individuos detrás del alias de Fxmsp es conocida entre los expertos en información de seguridad. FireEye los mencionó en su informe de crímenes electrónicos de 2018 para la región de EMEA (Europa, Oriente Medio y África).

El 5 de abril de 2018, Fxmsp publicó información de acceso para la red de una cadena de hoteles con ubicaciones en Europa, África y América del Sur.

El actor parece estar activo desde al menos 2017 y asumió una identidad robada de alguien llamado Andrey Turchin para llevar a cabo su negocio. Alguien con conocimiento sobre este actor nos dijo que esta identidad es la de una persona real. Aunque está quemado en este momento, muestra el nivel de sofisticación que tiene este actor.

Toda la información proporcionada en este medio es para fines educativos, en ningún caso alguno se hace responsable e cualquier mal uso de la información. Toda la información es para el desarrollo e investigación de métodos de seguridad informática.

No olvides visitar nuestra hacking shop

shop