Хакеры Void Balaur по найму продают украденные почтовые ящики и личные данные

17
Северокорейские разработчики выдают себя за американских фрилансеров и помогают хакерам правительства ДРПК

Наемная группа хакеров под названием Void Balaur более пяти лет крадет электронные письма и конфиденциальную информацию, продавая ее клиентам, преследующим как финансовые, так и шпионские цели.

Имея более 3500 целей, разбросанных почти на всех континентах, этот активный злоумышленник рекламирует свои услуги на российских подпольных форумах.

Исследователи в области безопасности из компании Trend Micro, занимающейся профилированием деятельности Void Balaur, говорят, что бизнес-модель этого субъекта заключается в краже «самых личных и личных данных предприятий и частных лиц» и их продаже заинтересованным клиентам.

Целями являются отдельные лица, а также организации в различных секторах (телекоммуникации, розничная торговля, финансы, медицина, биотехнологии), особенно если у них есть доступ к хранилищам частных данных.

«Void Balaur не только взламывает почтовые ящики, но и занимается продажей конфиденциальной частной информации своих целей. Сюда входят данные журнала вышки сотовой связи, паспортные данные, SMS-сообщения и многое другое. Кроме того, Void Balaur, по всей видимости, нацелен на многие организации и отдельных лиц, которые могут иметь доступ к очень конфиденциальным данным о людях »- Trend Micro

Широкий спектр услуг и целей

Считается, что хакерская деятельность Void Balaur началась еще в 2015 году, хотя самые ранние упоминания об этом актере относятся к сентябрю 2017 года в виде жалоб на групповой спам, рекламирующий ее услуги.

Платная реклама от Void Balaur начала появляться в 2018 году на русскоязычных форумах Darkmoney (кардинг), Probiv, Tenec (украденные учетные данные) и Dublikat.

Услуги включали доступ к бесплатной веб-почте (Gmail, Protonmail, Mail.ru, Яндекс, ВКонтакте), социальным сетям (Telegram) и корпоративным учетным записям электронной почты. Хакеры предлагали клиентам копии взломанных почтовых ящиков.

В 2019 году услуги группы диверсифицировались, поскольку они начали продавать конфиденциальные личные данные российских физических лиц по стартовой цене от 21 до 124 долларов. Информация включала:

  • паспорт и информация о рейсе
  • снимки с камеры трафика
  • данные ГИБДД (штрафы, регистрация автомобиля)
  • регистрация оружия
  • судимости
  • кредитная история
  • остаток на банковском счете и выписки
  • записи налоговой службы

Новые услуги также предоставляли данные из сотовых служб, такие как номера телефонов, записи телефонных звонков и SMS (с указанием местоположения вышки сотовой связи или без нее), отображение звонков, местоположение телефона или SIM-карты, распечатки текстовых сообщений.

Неясно, как Балаур Бездны получил эту информацию. Одно из объяснений — подкуп инсайдеров в телекоммуникационных компаниях.

Еще одна причина, подтверждающая наличие которой у Trend Micro, — это взлом ключевых инженеров и лиц, занимающих руководящие должности в различных телекоммуникационных компаниях в России.

Цели Void Balaur более разнообразны, чем эта, и атаки на них начались очень давно, поскольку компания Trend Micro обнаружила более 3500 адресов электронной почты для частных лиц и компаний в атаках, приписываемых этому злоумышленнику.

Основываясь на отчетах канадской некоммерческой организации eQualitie и Amnesty International, исследователи могут связать деятельность Void Balaur с атаками, которые начались в 2016 году против правозащитников и журналистов в Узбекистане.

Более поздняя активность группы в сентябре 2020 года была направлена ​​против политических деятелей Беларуси, кандидатов в президенты и члена оппозиционной партии.

В сентябре 2021 года хакеры сосредоточились на «личных адресах электронной почты бывшего главы разведывательного агентства, пяти действующих министров правительства (включая министра обороны) и двух членов национального парламента одной из восточноевропейских стран».

Политические деятели и дипломаты в других странах (Армения, Украина, Казахстан, Россия, Франция, Италия, Норвегия, Словакия), медиа-организации, десятки журналистов также являются объектами фишинг-активности Void Balaur.

В другой кампании, которая длилась с сентября 2020 года по август 2021 года, Void Balaur нацелился на членов совета директоров, директоров и руководителей (и членов их семей) компаний крупной российской корпорации.

Бенефициары этих атак остаются неизвестными, но долгосрочные шпионские кампании обычно служат национальным государственным, корпоративным или политическим интересам.

Другой набор целей включает организации, которые обрабатывают большие объемы индивидуальных конфиденциальных данных, которые могут использоваться для облегчения финансово мотивированных атак:

  • Мобильные и базовые телекоммуникационные компании
  • Продавцы сотового оборудования
  • Компании радио- и спутниковой связи
  • Продавцы банкоматов
  • Продавцы торговых точек (POS)
  • Финтех-компании и банки
  • Компании деловой авиации
  • Медицинские страховые организации как минимум в трех регионах России
  • Центры экстракорпорального оплодотворения (ЭКО) в России
  • Биотехнологические компании, предлагающие услуги генетического тестирования

Помимо этого, Void Balaur постоянно ищет доступ к кошелькам криптовалюты различных обменных сервисов (Binance, EXMO, BitPay, YoBit), используя фишинговые сайты для заманивания жертв.

В случае фишинга пользователей EXMO, хотя злоумышленник имел несколько доменов, один из них использовался почти три года.

Перекрывается с активностью Fancy Bear

Void Balaur появился на радаре Trend Micro после того, как источник предоставил несколько фишинговых писем, которые исследователи первоначально считали работой Pawn Storm, российского злоумышленника, известного также под именами Fancy Bear, Sednit, Pawn Storm и Strontium.

Хотя в конечном итоге они приписали электронные письма Void Balaur, исследователи также обнаружили совпадение между двумя группами, несмотря на то, что наемные хакеры показывали более разных клиентов и целей.

«В общей сложности мы наблюдали дюжину адресов электронной почты, на которые нацелился Pawn Storm в период с 2014 по 2015 год и Void Balaur с 2020 по 2021 год», — пишут исследователи в   сегодняшнем отчете.

«Помимо религиозных лидеров, мы также видели нападения на дипломатов, политиков и журналиста из Pawn Storm и Void Balaur», — добавили в Trend Micro.

Из данных, собранных Trend Micro, ясно, что Void Balaur занимается продажей личных данных всем, кто готов заплатить нужные деньги. Это группа кибернаемников, которой все равно, что ее клиенты делают с данными, которые они покупают.

Последнее обновление 9 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии