在IBM最近发布的Fxmsp综合报告中,这个人被称为“暗网隐神”。活跃于暗网3年多攻击44个国家,入侵135家公司,其中8.9%为国有企业仅根据公开拍卖估计利润1,500,000美元探索Fxmsp如何从新手黑客转变为俄罗斯的重量级人物-说到地下组织,对于安全研究人员来说,了解网络犯罪行业的发展和暗网的变化是很有意义的。初入地下论坛,如鱼得水2016年9月,Fxmsp迈出了网络犯罪领域的第一步。当时,他在一个地下论坛fuckav[.]ru上注册。但此时,他对“入侵某公司后如何实现访问权限”和“如何保证长期入侵某公司的访问权限”一无所知。因此,他在地下论坛中寻找“同谋”,希望找到自我传播的持久性加密货币挖掘恶意软件和其他用来感染公司网络的特洛伊木马。在这个阶段,Fxmsp给安全研究人员留下了很多后顾之忧。一般来说,地下论坛上有经验的黑客是不会把自己的联系方式贴出来的,但是当时的Fxmsp却粗心地在论坛上留下了自己的联系方式,其中就包括一个Jabber账号。2017年初,在其他几个俄语论坛(包括臭名昭著的exploit[.])上创建帐户后,Fxmsp重新调整了他的活动重点,开始出售对受感染企业网络的访问权,这在后来逐渐成为他的主要业务。2017年10月1日,Fxmsp发布了他的第一条广告,公然宣传出售公司网络的访问权,金融行业的第一个受害者是尼日利亚的一家商业银行。后来,他还宣布出售对一家连锁豪华酒店和一家价值200亿美元的非洲银行的网络访问权。在地下论坛里,Fxmsp逐渐变得如鱼得水,几次的成功让他狂妄自大。很快,他甚至与其他黑客讨论如何侵入IBM和微软,并试图出售在俄罗斯的访问权。例如,2017年10月,他在俄罗斯2个城市宣传出售ATM和海关办公室使用权。但是,俄语地下论坛有一条不成文的规定:不得在俄罗斯和独联体国家内部进行黑客攻击。结果,Fxmsp的行为受到了论坛的禁止。黑客+销售经理,组建2人团队2018年1月17日,Fxmsp共有18名买家。由于网络犯罪业务发展得如此之好,他还聘请了一位绰号为Lampeduza(又名AntonyMoricone、BigPetya、Fivelife、Nikolay、tor)的用户作为他的销售经理。2018年初,销售经理Lampeduza加强了他们的“服务”,甚至在论坛帖子中写道:“......你将可以访问公司的整个网络......你将成为网络中看不见的上帝......。”在他们在一起的这段时间里,二人通过广告获得了62家公司的访问权,累计总金额为1,100,800美元。2018年10月下旬,这个2人小组因试图将对同一网络的访问权限出售给几个不同的买家而受到打击,他们的声誉受到损害......从那时起,他们开始转向专注于“私人销售”,即只与有限的客户群合作。直到2019年3月中旬,兰佩杜萨才在论坛上卷土重来,恢复活动。Fxmsp从一战成名到退休的公开活动在2019年4月达到高潮。据说他成功闯入了三个防病毒软件供应商的网络,这一事件也成为头条新闻。由于Fxmsp的“一战成名”,Lampeduza宣布“分手”,否认自己也参与了此次黑客活动,并再次从论坛消失了一段时间,2019年12月17日,Lampeduza表示Fxmsp已经停止它的活动。作为俄语地下论坛的重量级人物,Fxmsp公开向135家公司出售访问权限,获利150万美元。他的成功甚至刺激了暗网犯罪市场的发展,促使其他黑客效仿。在Fxmsp活跃的3年里,犯罪服务也在不断变化:2019年下半年与2017年上半年相比,出卖受害企业网络访问权的买家数量增加了92%。在Fxmsp加入之前,买家只提供对单独服务器的RDP访问,不考虑持久化问题,而后来,Fxmsp将犯罪服务提升到一个新的高度,对受害企业的威胁也大大增加。防范建议虽然Fxmsp确实已经结束了所有公共业务,但是他对企业的威胁依然存在。考虑到这一点,向公众提供有关FxmspTTP的信息并提供建议将有助于公司抵御Fxmsp和类似网络犯罪分子的攻击。大多数情况下,Fxmsp使用一种非常简单有效的方法:扫描IP地址范围内的某些开放端口,识别开放的RDP端口,尤其是3389,然后对受害服务器进行暴力破解,验证RDP密码。在获得对目标设备的访问权限后,通常会禁用现有的防病毒软件和防火墙,并创建其他帐户。接下来,使用服务器上的Meterpreter有效负载作为后门,在获得访问权限后,Fxmsp收集所有帐户的转储并对其进行解密。最后,通过安装后门感染备份。即使受害者注意到他们系统上的可疑活动,他们也可能会更改密码并回滚到受损的备份。这种方法使他能够在很长一段时间内保持执着并且不被注意。建议:将默认RDP端口3389更改为任何其他端口;限制每个用户的失败登录尝试次数,启用帐户锁定策略;持续监控暗网以获取与公司相关的数据。使用威胁情报解决方案快速识别被盗记录并溯源,使用专用威胁检测系统发现网络中的流量异常。
