fxmsp - RunkIntel

# FXMSP ## Visão Geral **FXMSP** e um dos mais importantes **access brokers** da historia do cibercrime russo, responsavel por comprometer redes corporativas de 135+ organizacoes em 44 paises e vender o acesso por mais de US$ 1,5 milhao entre 2016 e 2019. O ator por tras do alias e identificado pelo DOJ como **Andrey Turchin**, cidadao cazaque, indiciado em 2020 por conspiracao para invasao informatica e fraude. O FXMSP ganhou notoriedade global em maio de 2019 ao anunciar a venda de acesso e código-fonte de tres grandes empresas de antivirus dos EUA - identificadas como **McAfee, Symantec (Norton) e Trend Micro** - por US$ 300.000, incluindo 30 TB de dados exfiltrados. O caso foi descrito pela AdvIntel como uma das maiores brechas no setor de cibersegurança da historia. Turchin introduziu um modelo de negocio sofisticado no underground russo: em vez de vender RDP avulso, ele mantinha **persistência estruturada** em redes comprometidas com múltiplos métodos de acesso redundantes, elevando o acesso a "servico corporativo de reconhecimento". Este modelo inspirou centenas de access brokers que surgiram em 2019-2020. > [!danger] Pioneiro do Access Broker Moderno > FXMSP "elevou o servico de acesso a um nivel totalmente novo" (Group-IB). Antes do FXMSP, brokers vendiam RDP avulso sem persistência. O modelo de backdoors redundantes + reconhecimento profundo + proxy sellers especializados tornou-se o padrao do ecossistema de ransomware moderno. > [!info] Status e Localização > DOJ indiciou Andrey Turchin em julho 2020. Fontes indicam que pode ter sido detido por autoridades do Cazaquistao. Atividade pública cessou em setembro 2019, possívelmente continuando com vendas privadas. ## Attack Flow - Access Broker ```mermaid graph TB A["Reconhecimento Scan massivo por RDP aberto Port 3389 Internet-facing Identificação de alvos corporativos"] --> B["Acesso Inicial Brute force RDP T1110 Password guessing T1110.001 Credenciais fracas expostas"] B --> C["Persistência Estruturada Multiplos backdoors Meterpreter implantado Infecção dos backups"] C --> D["Reconhecimento Profundo Escalacao de privilegios Dump de credenciais AD Mapeamento de ativos"] D --> E["Monetização Venda de acesso em forums US$ 3.000 a US$ 100.000+ Via proxy sellers Lampeduza"] E --> F["Repositionamento Acesso vendido multiplas vezes Compradores: ransomware groups Espionagem corporativa"] ``` ## Modelo de Negocio no Underground ```mermaid graph TB A["FXMSP Hacker / Operador Tecnico"] --> B["Lampeduza Sales Manager alias: Antony Moricone"] B --> C["Forums Russos exploit.in, fuckav.ru Club2Crd"] B --> D["Compradores Grupos de ransomware Espionagem corporativa Fraude financeira"] A --> E["GPTitan Equipe especializada Targets financeiros"] E --> F["Parcerias Equipe China Equipe EUA"] ``` ## Métodos de Comprometimento O FXMSP utilizava uma métodologia sistematica e replicavel: 1. **Scan massivo:** Varredura continua da internet por portas RDP abertas (3389) 2. **Brute force:** Ataques de forca bruta ou password guessing contra servidores expostos 3. **Acesso inicial:** Uma vez dentro, desativava antivirus e firewall 4. **Contas backdoor:** Criava contas adicionais com privilegios administrativos 5. **Persistência redundante:** Instalava Meterpreter com intervalo longo de C2 (15 dias) para evadir detecção; infectava backups para sobreviver a rollbacks 6. **Reconhecimento:** Realizava dump completo de credenciais e inventario de ativos corporativos 7. **Venda:** Comercializava acesso segmentado por empresa, com precos baseados no valor estratégico do alvo ## Breach dos Antivirus (2019) Em abril-maio de 2019, o FXMSP anunciou no underground o maior golpe de sua carreira: o comprometimento de tres grandes empresas de antivirus americanas. Afirmou ter: - **30 TB de dados** exfiltrados incluindo código-fonte de produtos AV - Documentacao de desenvolvimento, modelos de AI, e bases de dados de detecção - Acesso persistente a Active Directory de pelo menos uma empresa O preco pedido foi US$ 300.000 para código-fonte + acesso combinado. A AdvIntel alertou as empresas e o FBI, encerrando as operações públicas do FXMSP em maio de 2019. Pesquisadores identificaram as vitimas como **McAfee, Trend Micro e Symantec/Norton**. ## Técnicas Utilizadas - [[t1110-brute-force|T1110 - Brute Force]] - principal vetor inicial - [[t1110-001-password-guessing|T1110.001 - Password Guessing]] - tentativas RDP - [[t1021-001-remote-desktop-protocol|T1021.001 - Remote Desktop Protocol]] - acesso e persistência - [[t1078-valid-accounts|T1078 - Valid Accounts]] - credenciais comprometidas - [[t1136-create-account|T1136 - Creaté Account]] - contas backdoor ocultas - [[t1098-account-manipulation|T1098 - Account Manipulation]] - elevação de privilegios - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - desativacao de AV - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - Meterpreter deployment - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - cobertura de rastros - [[t1057-process-discovery|T1057 - Process Discovery]] - reconhecimento pos-acesso ## Software Utilizado - [[meterpreter|Meterpreter]] (Metasploit Framework) - backdoor principal - [[metasploit|Metasploit PRO]] - framework de post-exploitation - Atmos Trojan - uso inicial reportado - Ferramentas de brute force customizadas ## Relevância para o Brasil e LATAM > [!warning] Modelo que Alimentou Ransomware LATAM > O modelo de access broker do FXMSP criou a infraestrutura que grupos como Conti, LockBit e ALPHV usam para operar na América Latina. Entender o FXMSP e fundamental para compreender o ecossistema moderno de ransomware que atinge Brasil e LATAM. O FXMSP em si esta inativo, mas seu legado e direto: - **Setores expostos no Brasil:** Empresas com RDP exposto na internet (ainda prevalente no Brasil) sao exatamente o perfil de alvo que o FXMSP estabeleceu como padrao - **Dados expostos historicamente:** Empresas brasileiras podem ter tido acesso vendido a grupos de ransomware via os proxies do FXMSP durante 2017-2019 - **Padrao replicado:** Access brokers brasileiros e latino-americanos adotaram o modelo FXMSP, tornando o risco atual para organizacoes regionais ## Referências - DOJ Indictment - Andrey Turchin (2020) - Group-IB: FXMSP Comprehensive Report (2020) - AdvIntel: FXMSP Antivirus Breach Report (2019) - BleepingComputer: FXMSP $1.5M in access sales (2020) - [[g0008-carbanak|Carbanak]] - grupo de acesso a redes financeiras - [[g0119-indrik-spider|Indrik Spider]] - comprador tipico de acessos vendidos por brokers - [[lockbit|LockBit]] - ecossistema que absorveu o modelo access broker - [[financial|Setor Financeiro]] - [[technology|Tecnologia]]