Clicky

Descubren un grupo de cibermercenarios a sueldo que está activo desde 2015

Dragón Void Balaur

Denominado "Void Balaur", se ha centrado en los intercambios de criptomonedas

Un nuevo grupo de piratas cibernéticos mercenarios a sueldo denominado "Void Balaur" se ha relacionado con una serie de actividades de ciberespionaje y robo de datos dirigidas a miles de entidades, así como a activistas de derechos humanos, políticos y funcionarios gubernamentales de todo el mundo al menos desde 2015, para obtener beneficios económicos mientras acecha en las sombras.

Nombrado en honor a un dragón de muchas cabezas del folclore rumano, el adversario ha sido desenmascarado anunciando sus servicios en foros clandestinos de habla rusa que datan de 2017 y vendiendo información confidencial como registros de teléfonos de torres celulares, registros de vuelos de pasajeros, informes de crédito, datos bancarios, mensajes SMS y detalles del pasaporte. El actor de amenazas se llama a sí mismo "Rockethack".

"Este grupo de hackers contratados no opera desde un edificio físico, ni tiene un brillante prospecto que describa sus servicios", dijo la investigadora de Trend Micro, Feike Hacquebord, en un perfil del colectivo recientemente publicado.

"El grupo no intenta escabullirse de una difícil posición justificando su negocio, ni está involucrado en juicios contra nadie que intente informar sobre sus actividades. En cambio, este grupo es bastante abierto sobre lo que hace: irrumpir en cuentas de correo electrónico y cuentas de redes sociales por dinero", agregó Hacquebord.

Además de obtener críticas positivas casi unánimes en los foros por su capacidad para ofrecer información de calidad, también se cree que Void Balaur se ha centrado en los intercambios de criptomonedas al crear numerosos sitios de phishing para engañar a los usuarios del intercambio de criptomonedas para obtener acceso no autorizado a sus billeteras. Además, el colectivo mercenario ha desplegado contra sus objetivos un ladrón de información llamado Z*Stealer y malware de Android como DroidWatcher.

Se ha observado que el conjunto de intrusión de Void Balaur se ha desplegado contra una amplia gama de personas y entidades, incluidos periodistas, activistas de derechos humanos, políticos, científicos, médicos que trabajan en clínicas de FIV, empresas de genómica y biotecnología e ingenieros de telecomunicaciones. Trend Micro dijo que descubrió más de 3.500 direcciones de correo electrónico en las que el grupo se propuso.

Void Balaur email

Se dice que la mayoría de los objetivos del grupo están ubicados en Rusia y otros países vecinos como Ucrania, Eslovaquia y Kazajstán, y las víctimas también se encuentran en Estados Unidos, Israel, Japón, India y naciones europeas. Las organizaciones atacadas abarcan desde proveedores de telecomunicaciones, corporaciones de comunicaciones por satélite y empresas de tecnología financiera hasta proveedores de cajeros automáticos, proveedores de puntos de venta (PoS) y empresas de biotecnología.

Void Balaur celular

"Void Balaur busca los datos más privados y personales de empresas e individuos y luego los vende a quien quiera pagar por ellos", dijeron los investigadores. Sigue siendo desconocida la razón por la que fueron atacadas estas personas y entidades.

Void Balaur información

No está claro de inmediato cómo se obtienen sin interacción los registros confidenciales de teléfonos y correos electrónicos de los objetivos, aunque los investigadores sospechan que el actor de la amenaza podría haber involucrado directa (o indirectamente) a personas con información privilegiada en las empresas interesadas para vender los datos o comprometiendo las cuentas de los empleados clave con acceso a los buzones de correo electrónico específicos.

El análisis profundo de Trend Micro también ha encontrado algo en común con otro grupo de amenazas persistentes avanzadas con sede en Rusia llamado Pawn Storm (también conocido como APT28, Sofacy o Iron Twilight), con superposiciones observadas en las direcciones de correo electrónico específicas entre los dos grupos, mientras que también difieren significativamente en varias formas, incluido el modus operandi de Void Balaur de llamar a los usuarios de criptomonedas y sus horas de funcionamiento.

En todo caso, el desarrollo destaca una vez más el crecimiento desenfrenado en el ciberespacio de las actividades ilícitas relacionadas con los mercenarios y la demanda de dichos servicios, con una serie de operaciones: BellTroX (también conocida como Dark Basin), Bahamut, CostaRicto y PowerPepper, que han sido expuestas en los últimos meses como objetivos de instituciones financieras y agencias gubernamentales.

Para defenderse de los ataques de piratería, se recomienda habilitar la autenticación de dos factores (2FA) a través de una aplicación de autenticación o una clave de seguridad de hardware, confiar en aplicaciones con cifrado de extremo a extremo (E2EE) para correo electrónico y comunicaciones, y eliminar permanentemente mensajes no deseados para mitigar el riesgo de exposición de datos.

"La realidad es que los usuarios habituales de Internet no pueden disuadir fácilmente a un cibermercenario determinado", concluyeron los investigadores. "Si bien [las herramientas ofensivas avanzadas en el arsenal de un mercenario cibernético] pueden estar destinadas a ser utilizadas en la lucha contra el terrorismo y el crimen organizado, la realidad es que, a sabiendas o sin saberlo, terminan en manos de los actores de amenazas que las usan contra objetivos".

Jesus_Caceres