3 Grandes antivirus en Hacke

Así lo ha revelado la empresa Advanced Intelligence, donde hackers rusos están vendiendo el código fuente de estos antivirus (Symantec, McAfee y Trend Micro). El grupo, que se hace llamar Fxmsp, no sólo vende el código fuente, sino que también ofrece acceso a las redes de las compañías a cambio de 300.000 dólares ofreciendo muestras para demostrar que lo que tienen es real.

Fxmsp es un grupo conocido por vender en la Dark Web acceso a compañías a través de vulnerabilidades, enfocándose en empresas con presencia a nivel mundial y en organizaciones relacionadas con gobiernos. En la más reciente, ofrecían acceso a la red de una de las cadenas de hoteles de lujo más importantes del mundo (probablemente Marriott, donde se filtraron datos de 500 millones de personas, que cuenta con 29 hoteles en España). En total, se estima que han conseguido en torno a 1 millón de dólares a través de vender estas brechas de seguridad.

Hasta ahora, para robar datos y obtener acceso buscaban explotar el acceso a escritorio remoto a través de Internet y directorios activos en los servidores. Sin embargo, recientemente han ido más lejos y han creado una botnet que recopila nombres de usuario y contraseñas e intenta utilizarlas para hackear sistemas seguros..

dark web antivirus

El último capítulo en su historial criminal afecta a tres grandes antivirus de Estados Unidos, donde el grupo ha conseguido acceso a su código fuente, a sus herramientas de analítica basadas en machine learning, y extensiones utilizadas en navegadores web.

Symantec, McAfee y Trend Micro: las tres supuestas empresas que habrían sido hackeadas

Este tipo de hackeos se han dado otras veces en el pasado. Por ejemplo, en 2012 Symantec reveló que 6 años antes unos hackers se hicieron con el código fuente de sus antivirus Norton. En 2015, Kaspersky anunció que su red interna había sido infiltrada por un atacante con el mismo fin: obtener el código fuente de sus diversas soluciones de seguridad. A su vez, Bitdefender dejó credenciales de acceso en un servidor con software desactualizado, lo que abrió la puerta a hackers.

Fxmsp afirma haber desarrollado un malware de red de bots que puede infectar objetivos de alto perfil y eliminar credenciales confidenciales. También están vendiendo esto con un costo de $ 25,000 para la versión completa y $ 5,000 para una variante menos potente.

Aquí hay una versión adaptada de la imagen traducida:

(3:16:52) ¿Te gusta la forma en que tu botnet? Has estado desaparecido durante seis meses en todas partes. 
(3:17:08) fxmsp: en desarrollo 
(3:17:21) fxmsp: quedan 59 días para el lanzamiento 
(3:17:34) fxmsp: no es realmente una red de bots, será más empinada 
(3:18:10 ): como es, si es posible preguntar? 
(3:18:41) fxmsp: su descripción prepara a los muchachos, cuando estén listas las máscaras, hay muchas funciones diferentes 
(3:19:16)) /: ¡OK! no lo olvides, por 
favor ) (3:20:03) fxmsp: a la venta la versión completa vale 25K 
(3:20:09) fxmsp: simplificada 5K 
(3:20:18) fxmsp: pero él algo en esto tan

Según AdvIntel, que recopiló pruebas de los chats de Fxmsp, los piratas informáticos están especializados en “acceder a entornos de red a través de servidores de protocolo de escritorio remoto (RDP) disponibles externamente y directorio activo expuesto”.

Fxmsp anunció el acceso a una gran cantidad de víctimas que comprenden empresas en los siguientes campos de actividad: manufactura, energía, finanzas, gobierno, transporte aéreo, alimentos y educación.

Un anuncio en octubre de 2018 de uno de los vendedores de Fxmsp, BigPetya, ofreció acceso a servidores internos de múltiples entidades. Entre ellos se encontraba Reliance Industries Limited, un gigante indio con una actividad diversa en los sectores de energía, petroquímicos, textiles, recursos naturales, comercio minorista y telecomunicaciones.

El vendedor anunció “acceso completo con derechos de administrador, todos los recuentos de servidores y todas las PC en la red” (traducción automática) y “acceso al controlador de dominio”.

Los controladores de dominio son una parte esencial de los servicios de Active Directory (AD), ya que administran el acceso a los recursos del dominio de Windows. Almacenan información de la cuenta de usuario, son responsables de la autenticación del usuario y de hacer cumplir las políticas de seguridad en el dominio.

Afirmar que tienen este nivel de acceso es definitivamente preocupante, ya que proporciona acceso total a la red de Windows y a todos los recursos conectados a ella.

El FBI se encuentra investigando el suceso. Boguslavskiy, de AdvIntel, afirma que una de las marcas de antivirus ha reconocido la existencia del incidente, aunque no han desvelado el nombre. De hecho, habría también una cuarta empresa de antivirus afectada por el hackeo, la cual podría ser Comodo Group o Check Point, creadores de Comodo y ZoneAlarm respectivamente, pero no se sabe aun. Veremos si más adelante se van revelando más datos al respecto, o si los propios hackers publican cuáles han sido las compañías hackeadas.

Escrito por Alberto García – Fuente > Bleeping Computer