I cybercriminali hanno colpito oltre 3.500 aziende e individui dal 2015 Trend Micro
, leader globale di cybersecurity, nelle scorse settimane ha presentato la nuova ricerca “Void Balaur: Tracking a Cybermercenary’s Activities”, che svela le attività di un gruppo cybercriminale che lavora su commissione e che negli ultimi anni ha preso di mira almeno 3.500 individui e organizzazioni, tra cui attivisti per i diritti umani, giornalisti, politici e ingegneri delle telecomunicazioni.
“I cyber mercenari sono una sfortunata conseguenza della vasta economia cybercriminale di oggi”. Ha affermato Lisa Dolcini, Head of Marketing di Trend Micro Italia. “Data l’insaziabile richiesta per i loro servizi e l’accoglienza che hanno presso alcuni ambienti, è probabile che sia un fenomeno destinato a durare. La più efficace forma di difesa è aumentare la consapevolezza circa le minacce e incoraggiare le migliori pratiche di sicurezza informatica, per contrastare gli sforzi del cybercrime”.
La ricerca descrive in dettaglio l’attività di un gruppo di cyber criminali che si autodefinisce “Rockethack” e che Trend Micro ha soprannominato “Void Balaur”, dal nome di una malvagia creatura a più teste del folklore dell’Europa orientale.
È dal 2018 che il gruppo fa pubblicità solo sui forum in lingua russa e ha ottenuto recensioni unanimemente positive. Si concentra sul fare soldi attraverso due attività correlate: violare account di posta elettronica e social media e vendere informazioni personali e finanziarie altamente sensibili, inclusi i registri di volo dei passeggeri, i dati bancari o i dettagli del passaporto, ad esempio.
Le tariffe di Void Balaur per le diverse attività vanno da circa $20 per lo storico di una carta di credito rubata o i $69 per le riprese delle telecamere del traffico, a oltre $800 per i registri delle chiamate telefoniche con le posizioni dei ripetitori dei cellulari.
Gli obiettivi sono globali e includono società di telecomunicazioni in Russia, fornitori di bancomat, società di servizi finanziari, assicurazioni mediche, cliniche di fecondazione in vitro, tutte organizzazioni che custodiscono informazioni altamente sensibili e potenzialmente redditizie. Il gruppo colpisce anche giornalisti, attivisti per i diritti umani, politici, scienziati, medici, ingegneri delle telecomunicazioni e utenti di criptovalute.
Gli sforzi del gruppo sono diventati sempre più audaci nel corso degli anni, con obiettivi tra cui l’ex capo di un’agenzia di intelligence, sette ministri di governo e una dozzina di parlamentari europei.
Alcuni degli obiettivi, inclusi leader religiosi, diplomatici e giornalisti, coincidono con quelli del famigerato gruppo Pawn Storm (APT28, Fancy Bear). Trend Micro ha associato a Void Balaur migliaia di indicatori, che sono disponibili anche per le organizzazioni come parte dell’intelligence completa sulle minacce. Il gruppo utilizza in gran parte tattiche di phishing per raggiungere i suoi scopi, a volte includendo malware per il furto di informazioni come Z*Stealer o DroidWatcher.
Void Balaur si offre anche di hackerare gli account di posta elettronica senza l’interazione dell’utente, anche se non è chiaro come ciò avvenga, forse con l’aiuto di addetti ai lavori o tramite un provider di posta elettronica violato.
Per difendersi dai cyber mercenari come Void Balaur, le aziende e le organizzazioni dovrebbero adottare le seguenti misure:
- Utilizzare servizi di posta elettronica affidabili e di un fornitore sicuro, con elevati standard di privacy
- Implementare l’autenticazione a più fattori per gli account e-mail e social media, tramite un’app o Yubikey, e non un passcode SMS una tantum
- Utilizzare app con crittografia end-to-end nelle comunicazioni
- Includere la crittografia per le comunicazioni sensibili
- Eliminare definitivamente i messaggi che non servono più, per ridurre al minimo l’esposizione
- Utilizzare la crittografia dell’unità su tutti i dispositivi informatici
- Spegnere laptop e computer quando non sono in uso
- Avere un approccio di “piattaforma” alla sicurezza informatica, in grado di rilevare e rispondere lungo l’intera catena di attacco