Um novo grupo freelance de hackers apelidado de “Void Balaur” foi vinculado a uma série de atividades de espionagem cibernética e roubo de dados visando milhares de entidades, bem como ativistas de direitos humanos, políticos e funcionários do governo em todo o mundo, pelo menos desde 2015 para ganho financeiro enquanto espreita nas sombras.
Nomeado em homenagem a um dragão de muitas cabeças do folclore romeno, o adversário foi desmascarado anunciando seus serviços em fóruns clandestinos de língua russa que datam de 2017 e vendendo um tesouro de informações confidenciais, como registros de telefones de torres de celular, registros de voos de passageiros, crédito relatórios, dados bancários, mensagens SMS e detalhes do passaporte. O ator da ameaça se autodenomina “Rockethack”.
“Este grupo de hackers de aluguel não opera em um prédio físico, nem tem um prospecto brilhante que descreve seus serviços”, disse o pesquisador da Trend Micro Feike Hacquebord em um perfil recém-publicado do coletivo.
“O grupo não tenta escapar de uma posição difícil justificando seus negócios, nem está envolvido em ações judiciais contra qualquer pessoa que tente relatar suas atividades. Em vez disso, este grupo é bastante aberto sobre o que faz: invadir contas de e-mail e as redes sociais representam dinheiro “, acrescentou Hacquebord.
Além de receber críticas positivas quase unânimes nos fóruns por sua capacidade de oferecer informações de qualidade, o Void Balaur também se concentrou em trocas de criptomoedas criando vários sites de phishing para enganar usuários de trocas de criptomoedas a fim de obter acesso não autorizado às suas carteiras. Além do mais, as campanhas envolveram a implantação de ladrões de informações e spyware Android, como Z * Stealer e DroidWatcher, contra seus alvos.
O conjunto de intrusão do Void Balaur foi observado implantado contra uma ampla gama de indivíduos e entidades, incluindo jornalistas, ativistas de direitos humanos, políticos, cientistas, médicos que trabalham em clínicas de fertilização in vitro, empresas de genômica e biotecnologia e engenheiros de telecomunicações. A Trend Micro disse que descobriu mais de 3.500 endereços de e-mail que o grupo tinha como objetivo.
A maioria dos alvos do grupo estaria localizada na Rússia e outros países vizinhos como Ucrânia, Eslováquia e Cazaquistão, com as vítimas também localizadas nos Estados Unidos, Israel, Japão, Índia e nações europeias. As organizações atacadas vão desde provedores de telecomunicações, corporações de comunicação por satélite e firmas de fintech a vendedores de máquinas ATM, vendedores de ponto de venda (PoS) e empresas de biotecnologia.
“O Void Balaur vai atrás dos dados mais privados e pessoais de empresas e indivíduos e, em seguida, vende esses dados para quem quiser pagar por eles”, disseram os pesquisadores. A razão pela qual esses indivíduos e entidades foram visados ainda é desconhecida.
Também não está imediatamente claro como os registros confidenciais de telefone e e-mail são adquiridos dos alvos sem interação, embora os pesquisadores suspeitem que o ator da ameaça possa ter envolvido direta (ou indiretamente) insiders desonestos nas empresas em questão para vender os dados ou comprometer contas de funcionários-chave com acesso às caixas de correio de e-mail direcionadas.
A análise profunda da Trend Micro também encontrou um terreno comum com outro grupo de ameaças persistentes avançadas com base na Rússia, chamado Pawn Storm (também conhecido como APT28, Sofacy ou Iron Twilight), com sobreposições observadas nos endereços de e-mail direcionados entre os dois grupos, ao mesmo tempo diferindo significativamente em uma série de maneiras, incluindo o modus operandi do Void Balaur de usuários de criptomoedas marcantes e seus horários operacionais.
No mínimo, o desenvolvimento mais uma vez destaca o crescimento desenfreado das atividades relacionadas com hackers ilícitos no ciberespaço e a demanda por tais serviços, com uma série de operações – BellTroX (também conhecida como Dark Basin), Bahamut, CostaRicto e PowerPepper – que foram expostas visando organizações sem fins lucrativos, instituições financeiras e agências governamentais nos últimos meses.
Para se defender contra ataques de hackers, é recomendado habilitar a autenticação de dois fatores (2FA) por meio de um aplicativo autenticador ou uma chave de segurança de hardware, contar com aplicativos com criptografia de ponta a ponta (E2EE) para e-mail e comunicações e excluir permanentemente os antigos , mensagens indesejadas para mitigar o risco de exposição de dados.
“A realidade é que os usuários regulares da Internet não podem deter facilmente um determinado mercenário cibernético”, concluíram os pesquisadores. “Embora [ferramentas ofensivas avançadas no arsenal de um cibermercenário] possam ser usadas na luta contra o terrorismo e o crime organizado, a realidade é que elas – consciente ou inconscientemente – acabam nas mãos de agentes de ameaças que as usam contra involuntariamente alvos. ”
Fonte: THN
