Un grupo de hack-for-hire que fue expuesto por primera vez en 2019 ha ampliado su enfoque para fijar su mirada en entidades con vínculos comerciales o políticos con Rusia.
Doblado Balaúr del Vacíoel colectivo de mercenarios cibernéticos tiene un historial de lanzar ataques cibernéticos contra empresas de biotecnología y telecomunicaciones desde 2015. Hasta noviembre de 2021 se han reportado hasta 3500 víctimas.
«Balaúr del Vacío […] incursiona principalmente en el espionaje cibernético y el robo de datos, vendiendo la información robada a cualquiera que esté dispuesto a pagar», señaló Trend Micro en ese momento.
Los ataques realizados por el grupo suelen ser tanto genéricos como oportunistas y tienen como objetivo obtener acceso no autorizado a servicios de correo electrónico, redes sociales, mensajería y cuentas corporativas ampliamente utilizados.
A principios de junio, el Grupo de análisis de amenazas (TAG) de Google reveló una serie de ataques de robo de credenciales dirigidos a periodistas, políticos europeos y organizaciones sin fines de lucro montados por el actor de amenazas.
«Void Balaur también persigue objetivos valiosos para preposicionar o facilitar futuros ataques», dijo Tom Hegel, investigador de SentinelOne. dijoagregando los objetivos que abarcan Rusia, EE. UU., Reino Unido, Taiwán, Brasil, Kazajstán, Ucrania, Moldavia, Georgia, España, República Centroafricana y Sudán.
Se dice que la oferta de servicio de pirateo por contrato vinculada al grupo se anuncia bajo diferentes personas, como Hacknet y RocketHack. A lo largo de los años, los operadores han brindado otros servicios, incluido el acceso remoto a dispositivos, registros de SMS y seguimiento de ubicación en tiempo real.
Además, la infraestructura de ataque operada por Void Balaur abarca más de 5000 dominios únicos que afirman ser sitios web de correo electrónico, servicios de autenticación y portales de servicios públicos.
Pero en lo que parece ser un descuido operativo, uno de los dominios controlados por el grupo (cuentas-mi-correo-gmail[.]com) se resolvió a una dirección IP que es propiedad y está operada por el Servicio de la Guardia Federal de Rusia (FSO) a principios de 2022, lo que sugiere una posible conexión.
Aunque los ataques de Void Balaur están dirigidos a individuos y organizaciones de todo el mundo, las campañas montadas en 2022 han señalado a personas involucradas en situaciones comerciales y políticas que son de interés para Rusia.
También prevalece el uso de correos electrónicos de phishing altamente reproducibles que imitan los servicios del gobierno local o los bancos para engañar a los objetivos para que proporcionen sus credenciales de cuenta al hacer clic en un enlace malicioso.
«Void Balaur sigue siendo una amenaza muy activa y en constante evolución para las personas de todo el mundo. Desde la selección de servicios de correo electrónico bien conocidos hasta la oferta de piratería de redes corporativas, el grupo representa un claro ejemplo del mercado de piratería a sueldo», dijo Hegel. .