Компании и люди / Financial One

Не пойман, но вор: более 100 млн рублей заработал русскоязычный хакер Fxmsp на продаже доступов к компаниям

Не пойман, но вор: более 100 млн рублей заработал русскоязычный хакер Fxmsp на продаже доступов к компаниям Фото: facebook.com
3489
Group-IB, специализирующаяся на предотвращении кибератак, представила аналитический отчет «Fxmsp: невидимый бог сети», раскрывающий предположительную личность одного из самых активных продавцов доступов в корпоративные сети компаний.

По минимальным оценкам прибыль Fxmsp за период его активности могла составлять $1,5 млн (около 100 млн рублей). Материалы по установлению предположительной личности Fxmsp переданы в международные правоохранительные органы. 

Несмотря на то, что Fxmsp упоминался в публичных источниках, Group-IB впервые подробно описали ход расследования и факты, не обнародованные ранее. Не исключено, что он продолжает свою деятельность по взлому сетей компаний и все еще представляет опасность. Учитывая это, Group-IB публикует отчет, содержащий не только данные о инструментах и тактике Fxmsp, но и свои рекомендации по защите, чтобы предотвратить новые киберпреступления.

Доступ открыт

Исследуя активность на хакерских форумах более 17 лет, эксперты Group-IB Threat Intelligence начали фиксировать рост предложений, связанных с продажей доступов к корпоративным сетям, начиная с 2017 года – с появления на хакерской сцене Fxmsp. На тот момент форумы, в основном, наводняли предложения по доступам к взломанным сайтам, единичным серверам, учетным записям. Во второй половине 2017 года в «элитной» нише продаж доступов в корпоративные сети самым заметным игроком и абсолютным лидером по числу лотов был продавец с никнеймом Fxmsp. Со временем он создал новый тренд в андеграундном коммьюнити, сделав продажу доступов не товаром, а сервисом – с обеспечением привилегированного доступа в сети компаний-жертв для своих клиентов. Основная активность Fxmsp пришлась на 2018 год. 

После чего ниша некоторое время пустовала, а с начала 2019 года у киберпреступника появились последователи, которые сегодня ведут активную деятельность в андеграунде, взяв на вооружение техники Fxmsp. По данным исследования Group-IB, с начала 2020 года порядка более 40 киберпреступников промышляют «ремеслом» Fxmsp на андеграундных форумах. Всего за это время было выставлено более чем 150 лотов по продаже доступов в корпоративные сети компаний различных отраслей.

Захват рынка

Отчет Group-IB прослеживает деятельность Fxmsp с первой регистрации на андеграундном форуме, зафиксированной системой Group-IB Threat Intelligence, до его исчезновения с хакерских площадок. Fxmsp не специализировался на компрометации конкретных компаний. Топ-3 его жертв составляют предприятия легкой промышленности, провайдеры IT-сервисов и ритейл. 

Среди атакованных Fxmsp компаний была и «крупная рыба»: так, 4 из них входят в рейтинг “Global 500 | Fortune” за 2019 год. В послужном списке Fxmsp присутствуют банки, ТЭК, телекоммуникационные операторы, а также организации энергетического сектора. Одна из них в летом 2020 года пострадала от атаки шифровальщика. К этому времени сервисы от Fxmsp не предлагались в андеграунде уже 8 месяцев.

ii_kbs3arnw4.jpg
  

Данные, полученные в ходе исследования с использованием системы Group-IB Threat Intelligence, позволили выявить инструменты, которые использовал Fxmsp для компрометации компаний, определить – с большой степенью точности – число его жертв, а также установить предполагаемую личность киберпреступника. Отчет Group-IB поэтапно раскрывает, как из рядового пользователя даркнета, начинавшего с майнинга криптовалюты, менее чем за 3 года русскоязычный хакер Fxmsp, по самым скромным подсчетам, заработал около 1,5 млн. долларов – и это без учета продаж в «привате», лотов без указания цены, а также повторных продаж доступов в сети компаний-жертв.

Вместе со своим сообщником под ником Lampeduza, взявшим на себя рекламу и сопровождение всех сделок, в период с октября 2017 по сентябрь 2019 они выставили на продажу доступы в 135 компаний из 44 стран мира, включая США, Россию, Англию, Францию, Италию, Нидерланды, Сингапур, Японию, Австралию и многие другие. Несмотря на негласный закон в андеграундной среде не работать «по РУ», Fxmsp продавал два лота по российским жертвам, за что был «забанен» модераторами форума, но это не остановило преступника. 

«Невидимый бог сети»

Своим названием отчет Group-IB обязан одному из рекламных постов Lampeduza. Завоевав авторитет в андеграундной среде, группа обзавелась постоянными клиентами. Lampeduza привлекался лишь на стадии монетизации, в то время как Fxmsp занимался всеми этапами атаки, включая сканирование IP-диапазона в поисках открытого порта RDP 3389, брутфорс, закрепление в сети и установку бэкдоров.

u-2020.06.png

Никнейм Fxmsp стал широко известен в мае 2019 года в связи с появлением в СМИ новости о получении доступа в защищенные сети трех ведущих антивирусных компаний. Одна из них позже частично признает факт доступа, оценивая его как некритичный. К моменту появления скандальной новости, Fxmsp фактически закончил свою “публичную” деятельность. Однако до сих пор наиболее плодовитый “продавец доступов” вероятнее всего остается на свободе, представляя угрозу для компаний широкого диапазона отраслей независимо от того, в какой стране они находятся.

«Продажа доступа к корпоративным сетям все еще остается достаточно редкой услугой которая доступна на ограниченном числе андеграундных ресурсов, в основном российских, – комментирует Дмитрий Волков, технический директор Group-IB, – От деятельности Fxmsp пострадали более 130 организаций по всему миру, он является одним из наиболее опасных преступников в своей среде, возможно, до сих пор продолжающим свою деятельность. 

Мы хотим, чтобы наше исследование позволило ускорить обнаружение и задержание преступника, скрывающегося под ником Fхmsp, и лиц, работающих с ним, и повлияло на снижение количества желающих быть его последователями.  Именно поэтому мы приняли решение передать расширенную версию отчета международным правоохранительным органам и обнародовали имеющиеся материалы об инструментах и тактике Fxmsp, показав, как можно обеспечить защиту от подобных атак». 

Еще по 10 тысяч рублей на детей до 16 лет и другие ключевые моменты обращения Путина к россиянам

Приводим полный текст обращения президента России

В.Путин: Уважаемые граждане России,

25 марта я впервые обратился к вам в связи с угрозой распространения коронавирусной инфекции.

Прошло всего три месяца. Обычно такой период – один квартал – пролетает быстро, порой даже незаметно. Но в эти, безусловно, сложные дни, недели, месяцы у всех нас было совсем другое ощущение времени. Слишком многое они в себя вместили.

Продолжение





Популярное

Вернуться в список новостей

Комментарии (0)
Оставить комментарий
Отправить
Новые статьи
  • ЦБ поставит смягчение монетарных условий на паузу
    Наталья Мильчакова, аналитик Freedom Finance Global 20.03.2026 18:27
    420

    Банк России 20 марта снизил ключевую ставку на 0,5 процентного пункта, до 15% годовых, как и предполагали наши прогнозы. Считаем, что главным аргументом для этого решения стало продолжение замедления годовой инфляции в феврале и недельной инфляции в первой половине марта, когда потребительские цены росли не более, чем на 0,1 процентного пункта в неделю. А вот инфляционные ожидания населения, которые в марте неожиданно подскочили с 13,1% до 13,4%, возможно, преподнесли регулятору сюрприз, поэтому на более активное смягчение ДКП он не пошел.more

  • Цена нефти и газа. Куда смотрят энергоносители
    Андрей Мамонтов, эксперт по фондовому рынку «БКС Мир инвестиций» 20.03.2026 16:38
    519

    Фьючерсы на нефть марки Brent завершили четверг на уровне плюс 1,18%. Ормузский пролив остается закрытым, что в ближайшие недели создает угрозу заполнения нефтехранилищ у ключевых экспортеров нефти в регионе. Напряженность на Ближнем Востоке сохраняется. В четверг стартовала волна коррекции после заявлений МЭА о том, что первые поставки из стратегических резервов начали поступать на рынок. Пока нет слома минимума дня $103,76, дневная структура на стороне покупателей. Сформированные цели роста: 1) 121,66–123 2) 125,89–126,5.more

  • Банк России снизил ставку до 15%, но предупредил о росте внешних рисков
    Ольга Беленькая, руководитель отдела макроэкономического анализа ФГ «Финам» 20.03.2026 16:01
    515

    На заседании 20 марта Банк России в седьмой раз подряд снизил ключевую ставку – вновь на 50 б.п., до 15,0%. Решение совпало с нашими ожиданиями и с рыночным консенсусом. Банк России сохранил умеренно-мягкий сигнал, немного дополнив его: «Банк России будет оценивать целесообразность дальнейшего снижения ключевой ставки на ближайших заседаниях в зависимости от устойчивости замедления инфляции, динамики инфляционных ожиданий, а также от оценки рисков со стороны внешних и внутренних условий».more

  • Банк Санкт-Петербург остается интересной дивидендной историей
    Наталья Мильчакова, аналитик Freedom Finance Global 20.03.2026 15:45
    528

    Банк Санкт-Петербург (БСП) в ходе торгов 20 марта, проходящих в умеренном плюсе, вышел в лидеры роста: его обыкновенные акции дорожают на 1,6%, до 337,76 руб.
    Позитивную динамику котировок эмитента мы объясняем рекомендацией его набсовета утвердить дивиденд за второе полугодие 2025 года в размере 26,23 руб. на обыкновенную акцию и 0,22 руб. на привилегированную. Общее собрание акционеров, на котором будет обсуждаться этот вопрос, назначено на 28 апреля. В случае положительного решения реестр для получения выплат закроется 12 мая, то есть владеть бумагами банка в расчете на дивиденд нужно по состоянию на 11 мая.more

  • Акрон. Прогноз результатов (4К25 МСФО)
    Василий Данилов, ведущий аналитик ИК «ВЕЛЕС Капитал» 20.03.2026 15:21
    513

    23 марта Акрон представит финансовые результаты по МСФО за 4-й квартал и весь 2025 г. Мы ожидаем, что в 4-м квартале 2025 г. компания нарастит выручку на 2,3% г/г, до 56,4 млрд руб. EBITDA вырастет на 25,2% г/г, до 19,8 млрд руб., с рентабельностью 35,2% против 28,7% годом ранее. more

Все публикации