Descubierto un grupo de ciberdelincuentes a sueldo denominado ‘Void Balaur’

  • Actualidad

Ciberdelincuencia

Trend Micro ha destapado las actividades de un grupo de hackers a sueldo, que ha atacado desde 2015 a más de 3.500 organizaciones y personas, entre las que se encuentran activistas de derechos humanos, periodistas, políticos e ingenieros de alto nivel de empresas de telecomunicaciones.

Recomendados: 

Caminando hacia Zero Trust, el modelo de seguridad que se impone en la empresa Evento

El papel de la ciberinteligencia en la seguridad empresarial Webinar

Identificación de ataques web Leer

En un nuevo informe, la firma de ciberseguridad aporta detalles la actividad de un grupo de actores de amenazas autodenominado "Rockethack", al que Trend Micro ha bautizado como "Void Balaur", en honor a una malvada criatura de múltiples cabezas del folclore de Europa del Este.

Desde al menos 2018, el grupo se ha estado anunciando únicamente en foros en ruso y ha acumulado críticas unánimemente positivas. Se centra en ganar dinero con dos actividades relacionadas: la irrupción en cuentas de correo electrónico y redes sociales, y la venta de información personal y financiera altamente sensible, como datos de telecomunicaciones, registros de vuelos de pasajeros, datos bancarios y detalles de pasaportes. 

Las tarifas de Void Balaur por estas actividades van desde unos 20 dólares por un historial de crédito robado o tomas de cámaras de tráfico a 69 dólares hasta más de 800 dólares por registros de llamadas telefónicas con ubicaciones de torres de telefonía.   

Entre los objetivos globales se encuentran empresas de telecomunicaciones en Rusia, proveedores de cajeros automáticos, empresas de servicios financieros, aseguradoras médicas y clínicas de fecundación in vitro, organizaciones conocidas por almacenar información altamente sensible y potencialmente lucrativa. El grupo también persigue a periodistas, activistas de derechos humanos, políticos, científicos, médicos, ingenieros de telecomunicaciones y usuarios de criptomonedas. 

Sus esfuerzos se han vuelto cada vez más audaces a lo largo de los años, con objetivos que incluyen al antiguo jefe de una agencia de inteligencia, siete ministros del gobierno en activo y una docena de miembros de parlamentos de países europeos.  

Algunos de sus objetivos -incluidos líderes religiosos, diplomáticos y periodistas- también coinciden con el conocido grupo Pawn Storm (APT28, Fancy Bear). 

Trend Micro ha asociado miles de indicadores con Void Balaur, que también están disponibles para las organizaciones como parte de la inteligencia de amenazas integral.  Por lo general, despliega tácticas de phishing para conseguir sus fines, que a veces incluyen malware de robo de información como Z*Stealer o DroidWatcher. 

El grupo también ofrece hackear cuentas de correo electrónico sin la interacción del usuario, aunque no está claro cómo lo consigue, es decir, con la ayuda de personal interno o a través de un proveedor de correo electrónico vulnerado.

Según Feike Hacquebord, investigador senior de amenazas de Trend Micro, “los cibermercenarios son una desafortunada consecuencia de la enorme economía de la ciberdelincuencia actual. Dada la insaciable demanda de sus servicios y la acogida de algunos actores por parte de los estados-nación, es poco probable que desaparezcan pronto. La mejor forma de defensa es concienciar al sector sobre la amenaza en informes como éste y fomentar las mejores prácticas de ciberseguridad para ayudar a frustrar sus esfuerzos".  

Consejos del especialista
-- Utilizar servicios de correo electrónico robustos de un proveedor de confianza con altos estándares de privacidad.

-- Emplear la autenticación multifactor para sus cuentas de correo electrónico y redes sociales a través de una app o Yubikey en lugar de un código de acceso único por SMS.

-- Usar apps con cifrado de extremo a extremo en sus comunicaciones. 

-- Utilizar cifrado como PGP para las comunicaciones sensibles.  

-- Eliminar permanentemente los mensajes que ya no se necesiten para minimizar la exposición.

-- Emplear el cifrado de la unidad en todos los dispositivos informáticos.  

-- Apagar los portátiles y ordenadores cuando no estén en uso.   

-- Definir un enfoque de plataforma de ciberseguridad que pueda detectar y responder a lo largo de toda la cadena de ataque.