in

Los piratas informáticos de Void Balaur venden buzones de correo y datos privados robados


Los piratas informáticos de Void Balaur venden buzones de correo y datos privados

Un grupo de piratas informáticos a sueldo llamado Void Balaur ha estado robando correo electrónico e información altamente confidencial y vendiéndola a clientes con objetivos financieros y de espionaje durante más de cinco años.

Con más de 3500 objetivos en casi todos los continentes, este prolífico actor de amenazas anuncia sus servicios en foros clandestinos rusos.

Los investigadores de seguridad de Trend Micro, que describen las actividades de Void Balaur, dicen que el modelo de negocio de este actor es robar «los datos más privados y personales de empresas e individuos» y venderlos a los clientes interesados.

Los grupos destinatarios incluyen personas y organizaciones de diversos sectores (telecomunicaciones, comercio minorista, finanzas, medicina, biotecnología), especialmente si tienen acceso a bases de datos privadas.

“Void Balaur no solo piratea las bandejas de entrada de correo electrónico, sino que también vende la información privada confidencial de sus objetivos. Esto incluye datos de registro de torres de telefonía celular, detalles de pasaportes, mensajes de texto y más. Además, Void Balaur parece estar apuntando a muchas organizaciones e individuos que probablemente tengan acceso a datos altamente confidenciales sobre individuos ”. – Trend Micro

Amplia gama de servicios y objetivos

Se cree que las actividades de piratería de Void Balaur se remontan a 2015, aunque las primeras referencias a este actor son de septiembre de 2017 en forma de quejas sobre el spam grupal que promociona sus servicios.

Los anuncios pagados de Void Balaur aparecieron en 2018 en los foros en ruso Darkmoney (Carding), Probiv, Tenec (credenciales robadas) y Dublikat.

Los servicios incluían acceso a correo web gratuito (Gmail, Protonmail, Mail.ru, Yandex, VK), redes sociales (Telegram) y cuentas de correo electrónico corporativas. Los piratas informáticos ofrecerían copias de los buzones pirateados a los clientes.

Precios de los servicios del actor de amenazas Void Balaur
(Conversión en moneda estadounidense basada en el tipo de cambio del 14 de septiembre de 2021)

En 2019, los servicios del grupo se diversificaron cuando comenzó a vender datos privados confidenciales de personas rusas a precios iniciales de entre 21 y 124 dólares. La información incluyó:

  • Información de pasaporte y vuelo
  • Instantáneas de las cámaras de tráfico
  • Datos de la policía de tráfico (multas, registro de vehículos)
  • Registro de armas
  • Antecedentes penales
  • Historial de crédito
  • Saldo de cuenta y extractos
  • Registros del servicio de impuestos

Los nuevos servicios también proporcionaron datos de servicios celulares como números de teléfono, grabaciones de llamadas telefónicas y SMS (con o sin la ubicación de la torre celular), mapeo de llamadas, ubicación del teléfono o tarjeta SIM, impresión de mensajes de texto.

No está claro cómo Void Balaur obtuvo esta información. Sobornar a personas con información privilegiada en las empresas de telecomunicaciones es una declaración.

Otro caso del que Trend Micro tiene evidencia es la piratería de ingenieros clave y personas en puestos directivos en varias empresas de telecomunicaciones en Rusia.

Void Balaur amenazan los objetivos del actor en las empresas de telecomunicaciones

Los objetivos de Void Balaur son más diversos que estos, y los ataques contra ellos se remontan a mucho tiempo atrás, ya que Trend Micro encontró más de 3500 direcciones de correo electrónico individuales y corporativas en ataques atribuidos a este actor de amenazas.

Según informes de la organización canadiense sin fines de lucro eQualitie y Amnistía Internacional, los investigadores pudieron vincular las actividades de Void Balaur con los ataques que comenzaron contra activistas de derechos humanos y periodistas en Uzbekistán en 2016.

Las actividades más recientes del grupo en septiembre de 2020 se dirigieron a figuras políticas en Bielorrusia, candidatos presidenciales y un miembro del partido de oposición.

En septiembre de 2021, los piratas informáticos se centraron en «las direcciones de correo electrónico privadas de un exjefe de un servicio secreto, cinco ministros de gobierno activos (incluido el ministro de Defensa) y dos miembros del parlamento nacional de un país de Europa del Este».

Figuras políticas y diplomáticos de otros países (Armenia, Ucrania, Kazajstán, Rusia, Francia, Italia, Noruega, Eslovaquia), organizaciones de medios y decenas de periodistas también se encuentran entre los objetivos de las actividades de phishing de Void Balaur.

En otra campaña, que se desarrolló entre septiembre de 2020 y agosto de 2021, Void Balaur apuntó a miembros de la junta, directores y ejecutivos (y sus familiares) de empresas de una gran corporación rusa.

Campaña vacía de Balaur contra empresas del conglomerado ruso

Los beneficiarios de estos ataques siguen siendo desconocidos, pero las campañas de espionaje a largo plazo suelen servir a intereses nacionales, corporativos o políticos.

Otro conjunto de objetivos incluye organizaciones que procesan grandes cantidades de datos confidenciales individuales que podrían usarse para habilitar ataques con motivación financiera:

  • Empresa de telecomunicaciones centrales y celulares
  • Proveedor de dispositivos móviles
  • Empresa de comunicaciones por radio y satélite
  • Proveedor de cajeros automáticos
  • Proveedor de sistema de punto de venta (POS)
  • Empresas fintech y bancos
  • Empresas de aviación comercial
  • Organizaciones de seguros de salud en al menos tres regiones de Rusia
  • Clínicas de fertilización in vitro (FIV) en Rusia
  • Empresas de biotecnología que ofrecen pruebas genéticas.

Aparte de eso, Void Balaur busca constantemente acceso a carteras de criptomonedas de varios servicios de intercambio (Binance, EXMO, BitPay, YoBit) y utiliza sitios de phishing para atraer víctimas.

En el caso de los usuarios de phishing EXMO, aunque el actor de amenazas tenía varios dominios, uno de ellos se utilizó durante casi tres años.

Superposición con la actividad de Fancy Bear

Void Balaur apareció en el radar de Trend Micro después de que una fuente publicara varios correos electrónicos de phishing que los investigadores inicialmente creyeron que eran obra de Pawn Storm, un actor de amenazas ruso también conocido como Fancy Bear, Sednite, Pawn Storm y Strontium.

Aunque en última instancia atribuyeron los correos electrónicos a Void Balaur, los investigadores también encontraron una superposición entre los dos grupos, a pesar de que los piratas informáticos contratados mostraban diferentes clientes y objetivos.

«En total, observamos una docena de direcciones de correo electrónico que fueron atacadas tanto por Pawn Storm de 2014 a 2015 como por Void Balaur de 2020 a 2021», escriben los investigadores en un informe hoy.

«Además de los líderes religiosos, vimos ataques a diplomáticos, políticos y un periodista de Pawn Storm y Void Balaur», agregó Trend Micro.

Superposición de objetivos entre Void Balaur y APT28, también conocido como Fancy Bear

A partir de la evidencia recopilada por Trend Micro, queda claro que Void Balaur se centra en vender datos privados a cualquiera que esté dispuesto a pagar el dinero adecuado. Es un grupo de mercenarios cibernéticos al que no le importa lo que hagan sus clientes con los datos que compran.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

SMS sobre fraude bancario como pretexto para el phishing de voz – Krebs on Security

El nuevo kit de herramientas de seguridad de aplicaciones expone ataques de confusión de dependencia