Los investigadores han descubierto el grupo Hacker-for-Hire, que ha estado activo desde 2015.

Un nuevo grupo de hackers mercenarios cibernéticos llamado «Balaúr vacíoDesde al menos 2015, se ha asociado con una serie de ciberespionaje y robo de datos, dirigido a miles de entidades, así como a activistas de derechos humanos, políticos y funcionarios gubernamentales de todo el mundo para obtener ganancias financieras mientras acechan en las sombras.

El oponente, que lleva el nombre de un dragón de múltiples cabezas del folclore rumano, fue expuesto y publicitó sus servicios en foros clandestinos de habla rusa a partir de 2017 y vendió mucha información confidencial, como registros de torres móviles, registros de vuelos de pasajeros, créditos. mensajes, datos bancarios, mensajes SMS y datos del pasaporte. El terrible actor se hace llamar «Rockethack».

«Este grupo de piratería no opera fuera del edificio físico, ni tiene un prospecto brillante que describa sus servicios», dijo Feike Hacquebord, investigador de Trend Micro, en un perfil del equipo recientemente publicado.

“El grupo no está tratando de salir de una posición difícil justificando su negocio, ni está involucrado en litigios contra cualquiera que intente informar sobre sus actividades. En cambio, el grupo está completamente abierto a lo que hace: la intrusión en el correo electrónico. facturas y facturas de redes sociales por dinero”, agregó Hacquebord.

Además de recibir críticas positivas casi unánimes en los foros por su capacidad para ofrecer información de calidad, también se cree que Void Balaur se centró en los intercambios de criptomonedas al crear numerosos sitios de phishing para engañar a los usuarios de intercambios de criptomonedas para que obtengan acceso no autorizado a sus billeteras. Además, las campañas incluyeron el despliegue de ladrones de información y spyware para Android, como Z* Stealer y DroidWatcher, contra sus objetivos.

La suite de disrupción Void Balaur se ha observado contra una amplia gama de personas y entidades, incluidos periodistas, activistas de derechos humanos, políticos, científicos, médicos en clínicas de FIV, empresas de genómica y biotecnología e ingenieros de telecomunicaciones. Trend Micro dijo que había descubierto más de 3.500 direcciones de correo electrónico a las que el grupo se había fijado una meta.

Según los informes, la mayoría de los objetivos del grupo se encuentran en Rusia y otros países vecinos, como Ucrania, Eslovaquia y Kazajstán, mientras que las víctimas también se encuentran en los Estados Unidos, Israel, Japón, India y países europeos. Las organizaciones comprometidas manejan una variedad de proveedores de telecomunicaciones, compañías de comunicaciones satelitales y compañías de fintech para proveedores de cajeros automáticos, proveedores de puntos de venta (PoS) y compañías de biotecnología.

«Void Balaur persigue los datos más privados y personales de empresas e individuos y luego los vende a cualquiera que quiera pagar por ellos», dijeron los investigadores. Se desconoce la razón por la cual estas personas y entidades fueron el objetivo.

Tampoco está claro de inmediato cómo se obtienen los registros telefónicos y de correo electrónico confidenciales de los objetivos sin interacción, aunque los investigadores especulan que el actor de la amenaza podría involucrar directa (o indirectamente) a personas internas deshonestas en las empresas en cuestión para vender datos o comprometer cuentas. empleados clave con acceso a buzones de correo electrónico específicos.

El análisis en profundidad de Trend Micro también encontró puntos en común con otro grupo ruso de amenazas persistentes avanzadas llamado Pawn Storm (también conocido como APT28, Sofacy o Iron Twilight), y se observaron superposiciones entre las dos direcciones de correo electrónico entre los dos grupos. difieren significativamente en muchos aspectos, incluido el modus operandi de Void Balaur llamando a los usuarios de criptomonedas y sus horas de funcionamiento.

En todo caso, el desarrollo vuelve a enfatizar el crecimiento incontrolable de actividades ilegales relacionadas con mercenarios en el ciberespacio y la demanda de dichos servicios, lo que se refleja en una serie de operaciones: BellTroX (también conocido como Dark Basin), Bahamut, CostaRicto y PowerPepper, que han sido descubierto. como apuntar a organizaciones sin fines de lucro, instituciones financieras y agencias gubernamentales en los últimos meses.

Para defenderse de los ataques de piratas informáticos, se recomienda que habilite la autenticación de dos factores (2FA) a través de una aplicación de autenticación o una clave de seguridad de hardware, confíe en las aplicaciones de cifrado de extremo a extremo (E2EE) para el correo electrónico y la comunicación, y elimine de forma permanente mensajes no deseados para mitigar los riesgos de exposición de datos.

«El hecho es que los usuarios comunes de Internet no pueden disuadir fácilmente a un mercenario cibernético determinado», concluyeron los investigadores. «Mientras [advanced offensive tools in a cyber mercenary’s arsenal] podrían usarse en la lucha contra el terrorismo y el crimen organizado, la realidad es que, a sabiendas o sin saberlo, terminarán en manos de actores de amenazas que los usarán contra objetivos inconscientes».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática