Los piratas informáticos de Void Balaur venden buzones de correo y datos privados robados
Un grupo de piratas informáticos a sueldo llamado Void Balaur ha estado robando correo electrónico e información altamente confidencial y vendiéndola a clientes con objetivos financieros y de espionaje durante más de cinco años.
Con más de 3500 objetivos en casi todos los continentes, este prolífico actor de amenazas anuncia sus servicios en foros clandestinos rusos.
Los investigadores de seguridad de Trend Micro, que describen las actividades de Void Balaur, dicen que el modelo de negocio de este actor es robar «los datos más privados y personales de empresas e individuos» y venderlos a los clientes interesados.
Los grupos destinatarios incluyen personas y organizaciones de diversos sectores (telecomunicaciones, comercio minorista, finanzas, medicina, biotecnología), especialmente si tienen acceso a bases de datos privadas.
“Void Balaur no solo piratea las bandejas de entrada de correo electrónico, sino que también vende la información privada confidencial de sus objetivos. Esto incluye datos de registro de torres de telefonía celular, detalles de pasaportes, mensajes de texto y más. Además, Void Balaur parece estar apuntando a muchas organizaciones e individuos que probablemente tengan acceso a datos altamente confidenciales sobre individuos ”. – Trend Micro
Amplia gama de servicios y objetivos
Se cree que las actividades de piratería de Void Balaur se remontan a 2015, aunque las primeras referencias a este actor son de septiembre de 2017 en forma de quejas sobre el spam grupal que promociona sus servicios.
Los anuncios pagados de Void Balaur aparecieron en 2018 en los foros en ruso Darkmoney (Carding), Probiv, Tenec (credenciales robadas) y Dublikat.
Los servicios incluían acceso a correo web gratuito (Gmail, Protonmail, Mail.ru, Yandex, VK), redes sociales (Telegram) y cuentas de correo electrónico corporativas. Los piratas informáticos ofrecerían copias de los buzones pirateados a los clientes.
En 2019, los servicios del grupo se diversificaron cuando comenzó a vender datos privados confidenciales de personas rusas a precios iniciales de entre 21 y 124 dólares. La información incluyó:
Información de pasaporte y vuelo
Instantáneas de las cámaras de tráfico
Datos de la policía de tráfico (multas, registro de vehículos)
Registro de armas
Antecedentes penales
Historial de crédito
Saldo de cuenta y extractos
Registros del servicio de impuestos
Los nuevos servicios también proporcionaron datos de servicios celulares como números de teléfono, grabaciones de llamadas telefónicas y SMS (con o sin la ubicación de la torre celular), mapeo de llamadas, ubicación del teléfono o tarjeta SIM, impresión de mensajes de texto.
No está claro cómo Void Balaur obtuvo esta información. Sobornar a personas con información privilegiada en las empresas de telecomunicaciones es una declaración.
Otro caso del que Trend Micro tiene evidencia es la piratería de ingenieros clave y personas en puestos directivos en varias empresas de telecomunicaciones en Rusia.
Los objetivos de Void Balaur son más diversos que estos, y los ataques contra ellos se remontan a mucho tiempo atrás, ya que Trend Micro encontró más de 3500 direcciones de correo electrónico individuales y corporativas en ataques atribuidos a este actor de amenazas.
Según informes de la organización canadiense sin fines de lucro eQualitie y Amnistía Internacional, los investigadores pudieron vincular las actividades de Void Balaur con los ataques que comenzaron contra activistas de derechos humanos y periodistas en Uzbekistán en 2016.
Las actividades más recientes del grupo en septiembre de 2020 se dirigieron a figuras políticas en Bielorrusia, candidatos presidenciales y un miembro del partido de oposición.
En septiembre de 2021, los piratas informáticos se centraron en «las direcciones de correo electrónico privadas de un exjefe de un servicio secreto, cinco ministros de gobierno activos (incluido el ministro de Defensa) y dos miembros del parlamento nacional de un país de Europa del Este».
Figuras políticas y diplomáticos de otros países (Armenia, Ucrania, Kazajstán, Rusia, Francia, Italia, Noruega, Eslovaquia), organizaciones de medios y decenas de periodistas también se encuentran entre los objetivos de las actividades de phishing de Void Balaur.
En otra campaña, que se desarrolló entre septiembre de 2020 y agosto de 2021, Void Balaur apuntó a miembros de la junta, directores y ejecutivos (y sus familiares) de empresas de una gran corporación rusa.
Los beneficiarios de estos ataques siguen siendo desconocidos, pero las campañas de espionaje a largo plazo suelen servir a intereses nacionales, corporativos o políticos.
Otro conjunto de objetivos incluye organizaciones que procesan grandes cantidades de datos confidenciales individuales que podrían usarse para habilitar ataques con motivación financiera:
Empresa de telecomunicaciones centrales y celulares
Proveedor de dispositivos móviles
Empresa de comunicaciones por radio y satélite
Proveedor de cajeros automáticos
Proveedor de sistema de punto de venta (POS)
Empresas fintech y bancos
Empresas de aviación comercial
Organizaciones de seguros de salud en al menos tres regiones de Rusia
Clínicas de fertilización in vitro (FIV) en Rusia
Empresas de biotecnología que ofrecen pruebas genéticas.
Aparte de eso, Void Balaur busca constantemente acceso a carteras de criptomonedas de varios servicios de intercambio (Binance, EXMO, BitPay, YoBit) y utiliza sitios de phishing para atraer víctimas.
En el caso de los usuarios de phishing EXMO, aunque el actor de amenazas tenía varios dominios, uno de ellos se utilizó durante casi tres años.
Superposición con la actividad de Fancy Bear
Void Balaur apareció en el radar de Trend Micro después de que una fuente publicara varios correos electrónicos de phishing que los investigadores inicialmente creyeron que eran obra de Pawn Storm, un actor de amenazas ruso también conocido como Fancy Bear, Sednite, Pawn Storm y Strontium.
Aunque en última instancia atribuyeron los correos electrónicos a Void Balaur, los investigadores también encontraron una superposición entre los dos grupos, a pesar de que los piratas informáticos contratados mostraban diferentes clientes y objetivos.
«En total, observamos una docena de direcciones de correo electrónico que fueron atacadas tanto por Pawn Storm de 2014 a 2015 como por Void Balaur de 2020 a 2021», escriben los investigadores en un informe hoy.
«Además de los líderes religiosos, vimos ataques a diplomáticos, políticos y un periodista de Pawn Storm y Void Balaur», agregó Trend Micro.
A partir de la evidencia recopilada por Trend Micro, queda claro que Void Balaur se centra en vender datos privados a cualquiera que esté dispuesto a pagar el dinero adecuado. Es un grupo de mercenarios cibernéticos al que no le importa lo que hagan sus clientes con los datos que compran.
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
