Cosa si nasconde dietro le attività del gruppo cyber mercenario “Void Balaur”

by Tommy Denet

I cybercriminali hanno colpito oltre 3.500 aziende e individui dal 2015 Trend Micro

, leader globale di cybersecurity, nelle scorse settimane ha presentato la nuova ricerca Void Balaur: Tracking a Cybermercenary’s Activities”,  che svela le attività di un gruppo cybercriminale che lavora su commissione e che negli ultimi anni ha preso di mira almeno 3.500 individui e organizzazioni, tra cui attivisti per i diritti umani, giornalisti, politici e ingegneri delle telecomunicazioni.

I cyber mercenari sono una sfortunata conseguenza della vasta economia cybercriminale di oggi”. Ha affermato Lisa Dolcini, Head of Marketing di Trend Micro Italia. “Data l’insaziabile richiesta per i loro servizi e l’accoglienza che hanno presso alcuni ambienti, è probabile che sia un fenomeno destinato a durare. La più efficace forma di difesa è aumentare la consapevolezza circa le minacce e incoraggiare le migliori pratiche di sicurezza informatica, per contrastare gli sforzi del cybercrime”.

La ricerca descrive in dettaglio l’attività di un gruppo di cyber criminali che si autodefinisce “Rockethack” e che Trend Micro ha soprannominato “Void Balaur”, dal nome di una malvagia creatura a più teste del folklore dell’Europa orientale.

È dal 2018 che il gruppo fa pubblicità solo sui forum in lingua russa e ha ottenuto recensioni unanimemente positive. Si concentra sul fare soldi attraverso due attività correlate: violare account di posta elettronica e social media e vendere informazioni personali e finanziarie altamente sensibili, inclusi i registri di volo dei passeggeri, i dati bancari o i dettagli del passaporto, ad esempio.

Le tariffe di Void Balaur per le diverse attività vanno da circa $20 per lo storico di una carta di credito rubata o i $69 per le riprese delle telecamere del traffico, a oltre $800 per i registri delle chiamate telefoniche con le posizioni dei ripetitori dei cellulari.

Gli obiettivi sono globali e includono società di telecomunicazioni in Russia, fornitori di bancomat, società di servizi finanziari, assicurazioni mediche, cliniche di fecondazione in vitro, tutte organizzazioni che custodiscono informazioni altamente sensibili e potenzialmente redditizie. Il gruppo colpisce anche giornalisti, attivisti per i diritti umani, politici, scienziati, medici, ingegneri delle telecomunicazioni e utenti di criptovalute.

Gli sforzi del gruppo sono diventati sempre più audaci nel corso degli anni, con obiettivi tra cui l’ex capo di un’agenzia di intelligence, sette ministri di governo e una dozzina di parlamentari europei.

Alcuni degli obiettivi, inclusi leader religiosi, diplomatici e giornalisti, coincidono con quelli del famigerato gruppo Pawn Storm (APT28, Fancy Bear). Trend Micro ha associato a Void Balaur migliaia di indicatori, che sono disponibili anche per le organizzazioni come parte dell’intelligence completa sulle minacce. Il gruppo utilizza in gran parte tattiche di phishing per raggiungere i suoi scopi, a volte includendo malware per il furto di informazioni come Z*Stealer o DroidWatcher.

Void Balaur si offre anche di hackerare gli account di posta elettronica senza l’interazione dell’utente, anche se non è chiaro come ciò avvenga, forse con l’aiuto di addetti ai lavori o tramite un provider di posta elettronica violato.

Per difendersi dai cyber mercenari come Void Balaur, le aziende e le organizzazioni dovrebbero adottare le seguenti misure:

  • Utilizzare servizi di posta elettronica affidabili e di un fornitore sicuro, con elevati standard di privacy
  • Implementare l’autenticazione a più fattori per gli account e-mail e social media, tramite un’app o Yubikey, e non un passcode SMS una tantum
  • Utilizzare app con crittografia end-to-end nelle comunicazioni
  • Includere la crittografia per le comunicazioni sensibili
  • Eliminare definitivamente i messaggi che non servono più, per ridurre al minimo l’esposizione
  • Utilizzare la crittografia dell’unità su tutti i dispositivi informatici
  • Spegnere laptop e computer quando non sono in uso
  • Avere un approccio di “piattaforma” alla sicurezza informatica, in grado di rilevare e rispondere lungo l’intera catena di attacco