Trend Micro ha presentato la nuova ricerca “Void Balaur: Tracking a Cybermercenary’s Activities”, che svela le attività di un gruppo cybercriminale che lavora su commissione e che negli ultimi anni ha preso di mira almeno 3.500 individui e organizzazioni, tra cui attivisti per i diritti umani, giornalisti, politici e ingegneri delle telecomunicazioni.
Come sottolineato fin dalle prime battute in una nota ufficiale da Lisa Dolcini, Head of Marketing di Trend Micro Italia: «I cyber mercenari sono una sfortunata conseguenza della vasta economia cybercriminale di oggi. Data l’insaziabile richiesta per i loro servizi e l’accoglienza che hanno presso alcuni ambienti, è probabile che sia un fenomeno destinato a durare. La più efficace forma di difesa è aumentare la consapevolezza circa le minacce e incoraggiare le migliori pratiche di sicurezza informatica, per contrastare gli sforzi del cybercrime».
La ricerca descrive in dettaglio l’attività di un gruppo di cyber criminali che si autodefinisce “Rockethack” e che Trend Micro ha soprannominato “Void Balaur”, dal nome di una malvagia creatura a più teste del folklore dell’Europa orientale.
È dal 2018 che il gruppo fa pubblicità solo sui forum in lingua russa e ha ottenuto recensioni unanimemente positive. Si concentra sul fare soldi attraverso due attività correlate: violare account di posta elettronica e social media e vendere informazioni personali e finanziarie altamente sensibili, inclusi i registri di volo dei passeggeri, i dati bancari o i dettagli del passaporto, ad esempio.
Le tariffe di Void Balaur per le diverse attività vanno da circa $20 per lo storico di una carta di credito rubata o i $69 per le riprese delle telecamere del traffico, a oltre $800 per i registri delle chiamate telefoniche con le posizioni dei ripetitori dei cellulari.
Gli obiettivi sono globali e includono società di telecomunicazioni in Russia, fornitori di bancomat, società di servizi finanziari, assicurazioni mediche, cliniche di fecondazione in vitro, tutte organizzazioni che custodiscono informazioni altamente sensibili e potenzialmente redditizie. Il gruppo colpisce anche giornalisti, attivisti per i diritti umani, politici, scienziati, medici, ingegneri delle telecomunicazioni e utenti di criptovalute.
Gli sforzi del gruppo sono diventati sempre più audaci nel corso degli anni, con obiettivi tra cui l’ex capo di un’agenzia di intelligence, sette ministri di governo e una dozzina di parlamentari europei.
Alcuni degli obiettivi, inclusi leader religiosi, diplomatici e giornalisti, coincidono con quelli del famigerato gruppo Pawn Storm (APT28, Fancy Bear). Trend Micro ha associato a Void Balaur migliaia di indicatori, che sono disponibili anche per le organizzazioni come parte dell’intelligence completa sulle minacce. Il gruppo utilizza in gran parte tattiche di phishing per raggiungere i suoi scopi, a volte includendo malware per il furto di informazioni come Z*Stealer o DroidWatcher.
Void Balaur si offre anche di hackerare gli account di posta elettronica senza l’interazione dell’utente, anche se non è chiaro come ciò avvenga, forse con l’aiuto di addetti ai lavori o tramite un provider di posta elettronica violato.
Per difendersi dai cyber mercenari come Void Balaur
- Utilizzare servizi di posta elettronica affidabili e di un fornitore sicuro, con elevati standard di privacy
- Implementare l’autenticazione a più fattori per gli account e-mail e social media, tramite un’app o Yubikey, e non un passcode SMS una tantum
- Utilizzare app con crittografia end-to-end nelle comunicazioni
- Includere la crittografia per le comunicazioni sensibili
- Eliminare definitivamente i messaggi che non servono più, per ridurre al minimo l’esposizione
- Utilizzare la crittografia dell’unità su tutti i dispositivi informatici
- Spegnere laptop e computer quando non sono in uso
- Avere un approccio di “piattaforma” alla sicurezza informatica, in grado di rilevare e rispondere lungo l’intera catena di attacco
Ulteriori informazioni sono disponibili a questo link
La ricerca è disponibile a questo link
