La empresa de ciberseguridad Trend Micro ha publicado hoy un informe de 46 páginas que detalla la historia y la actividad de un grupo de piratas informáticos contratados que ha estado anunciando sus servicios en el inframundo del ciberdelito y realizando intrusiones bajo demanda desde mediados de la década de 2010.
La compañía de ciberseguridad Trend Micro ha descubierto un nuevo grupo de cibercriminales conocido como Void Balaur -aunque autodenominado Rockethack- que ha llevado a cabo ataques sofisticados que ya han afectado a 3.500 personas y empresas en todo el mundo y que se llevan a cabo por encargo.
Void Balaur, llamado así por una criatura legendaria con varias cabezas del folclore de Europa del Este, es una banda de cibermercenarios que permanece en la sombra y que perpetra un abanico amplio de delitos cibernéticos.
Entre las acciones del grupo se encuentran irrumpir en cuentas de correo electrónico y de redes sociales a cambio de dinero y vender datos personales muy sensibles, como registros telefónicos de torres de telefonía móvil, de vuelos de pasajeros, datos bancarios, detalles de pasaportes y otros datos personales.
Los investigadores dijeron que algunos de estos ataques podrían estar vinculados a la infraestructura de RocketHack.me, un sitio web que anuncia servicios de piratería a pedido.
El mismo sitio fue mencionado en numerosos anuncios en foros clandestinos de habla rusa como Probiv, Tenec y Darkmoney, que datan de 2017, donde los ciberdelincuentes hacen negocios entre sí, y está siendo contratado para perpetrar un abanico de delitos muy amplio.
Entre sus acciones detectadas se encuentran: espiar una tienda local en Moscú; espiar a periodistas, activistas de derechos humanos, políticos, científicos, médicos de clínicas de fecundación in vitro, empresas de genómica y biotecnología, ingenieros de teleco, a empresas de aviación comercial y espionaje corporativo; así como vender datos a ciberdelincuentes y ataques contra usuarios de criptomonedas.
Trend Micro ha descubierto más de 3.500 objetivos del grupo, algunos de los cuales han sufrido ataques duraderos y repetidos. Estos cibercriminales venden los datos que consiguen a quien quiera pagar por ellos.
Las principales actividades de Void Balaur que se anunciaban inicialmente en los foros clandestinos eran la irrupción en cuentas gratuitas de correo web, redes sociales y correo electrónico corporativo. Se ofrecían copias de los buzones de correo tanto con la interacción del usuario como sin ella.Estos anuncios inicialmente hacían referencia a la capacidad del grupo para ingresar a las cuentas de correo electrónico y redes sociales de la víctima, lo que parece ser consistente con la gran cantidad de sitios de phishing y malware de robo de información común y corriente que Trend Micro encontró asociado con la infraestructura del grupo.
Con un nivel de confianza medio, Trend Micro también ha atribuido a Void Balaur ataques de ‘phishing’ y web contra activistas de derechos humanos y periodistas en Uzbekistán desde 2016. También ha informado sobre más de 25 periodistas atacados, aunque cree que la cifra puede ser mayor.
Por estos ataques, la organización criminal de origen ruso podían llegar a reclamar cifras que oscilan entre los 18 dólares (registros de seguridad vial y datos de la policía de tráfico) y que pueden llegar a superar los 800 dólares si lo que se quiere conseguir son registros de llamadas con localización de torres de telefonía móvil.
Las campañas de ataques de Void Balaur son también más duraderas y persistentes de lo normal, y se han observado algunos objetivos afectados durante un periodo de un año.
Void Balaur ha intentado constantemente obtener acceso a carteras de varios servicios de intercambio de criptomonedas, así como personas interesadas en ellos. El dinero virtual se puede transferir a carteras controladas por delincuentes, donde hay pocas posibilidades de recuperar los bienes robados.
Los investigadores de Trend Micro no pudieron decir exactamente cómo el grupo tuvo acceso a esta cantidad de datos, pero señalaron su utilidad en dark web de Rusia, donde se podría abusar de ellos para ocultar delitos más graves.
. Leer artículo completo en Frikipandi Void Balaur, el grupo de phishing por encargo.