Cyber-Söldnergruppe Void Balaur greift hochkarätige Ziele gegen Bargeld an

  • Eine russischsprachige Bedrohungsgruppe lässt sich anheuern, um Daten von Journalisten, politischen Führern, Aktivisten und Organisationen aus allen Bereichen zu stehlen.

    Die russischsprachige Gruppe Void Balaur, die auch unter dem Namen Rockethack bekannt ist, wurde als produktive Cyber-Söldnergruppe identifiziert, die man anheuern kann, um in die E-Mail- und Social-Media-Konten hochkarätiger Ziele in aller Welt einzudringen.

    Nachdem Void Balaur mehr als ein Jahr lang beobachtet wurde, hat Trend Micro einen Bericht veröffentlicht, in dem mehr als 3.500 Ziele der Gruppe identifiziert wurden. Amnesty International hat ebenfalls Cyberangriffe auf Aktivisten und Journalisten, die in Usbekistan arbeiten, identifiziert, die von dem Cyber-Söldnerdienst durchgeführt wurden.

    “Unsere Recherchen haben ein klares Bild ergeben: Void Balaur hat es auf die privatesten und persönlichsten Daten von Unternehmen und Privatpersonen abgesehen und verkauft diese Daten dann an jeden, der dafür bezahlen möchte”, heißt es im Bericht von Trend Micro.

    Gegen eine hohe Gebühr kann die Gruppe oft vollständige Kopien von Postfächern liefern, die ohne das Zutun des betroffenen Benutzers gestohlen wurden, so Trend Micro.

    Void Balaur wird in Underground-Foren gelobt

    Die Aktivitäten von Void Balaur reichen laut den Analysten von Trend Micro bis ins Jahr 2015 zurück, wo sie eifrig Daten sammelten, die später verkauft werden konnten. Im Jahr 2019 verkaufte die Gruppe sehr persönliche Daten, die sie über russische Bürger gesammelt hatte, darunter Strafregister, Kreditgeschichte, Flugdaten, Kontostände und Ausdrucke von SMS-Nachrichten, so der Bericht. Die Gruppe verkauft auch Handydaten, die höchstwahrscheinlich durch Bestechung von Telekommunikationsmitarbeitern oder Insidern erworben wurden, so der Bericht weiter.

    Zu den beliebten Zielen der Gruppe gehören Medien- und politische Nachrichten-Websites, Journalisten und Menschenrechtsaktivisten, so Trend Micro.

    Registrieren Sie sich jetzt für unsere LIVE-Veranstaltung!

    “Void Balaur ist auch nicht abgeneigt, hochrangige Ziele anzugreifen, da die Gruppe auch Angriffe auf den ehemaligen Leiter eines Geheimdienstes, aktive Regierungsminister, Mitglieder des nationalen Parlaments in einem osteuropäischen Land und sogar Präsidentschaftskandidaten durchgeführt hat”, heißt es weiter.

    Die Gruppe wirbt derzeit für ihre Dienste in den russischen Untergrundforen Darkmoney und Probiv, so Trend Micro.

    “Void Balaur scheint in diesen Untergrundforen hoch angesehen zu sein, da die Rückmeldungen zu ihren Diensten fast einhellig positiv sind, wobei die Kunden die Fähigkeit des Bedrohungsakteurs hervorheben, die angeforderten Informationen rechtzeitig zu liefern, sowie die Qualität der bereitgestellten Daten”, so der Bericht.

    Die Gruppe verwendet Malware-Tools wie den Z*Stealer Credential Stealer und DroidWatcher, die Daten stehlen und zusätzliche Tracking- und Spionagefunktionen bieten, so Trend Micro. Das Unternehmen stellte in seinem Bericht die Kompromittierungsindikatoren von Void Balaur zur Verfügung.

    Void Balaur zielt auf Datentrauben

    Die Gruppe hat auch Angriffe auf Kryptowährungsbörsen wie EMXO gestartet, die dem Bericht zufolge mehrfach von Void Balaur angegriffen wurden.

    Im September hatte die Gruppe den Leiter des Geheimdienstes, Regierungsminister und zwei Mitglieder eines osteuropäischen Parlaments im Visier, berichtet Trend Micro. Seit 2020 gab es Angriffe auf Regierungsbeamte und Kandidaten in Ländern wie Armenien, Weißrussland, Frankreich, Italien, Kasachstan, Norwegen, Russland und der Ukraine, so der Bericht. Void Balaur ist auch in den USA, Israel und Japan aktiv, fanden die Forscher heraus.

    Im Jahr 2020 griff Void Balaur ein russisches Konglomerat mehr als ein Jahr lang an und bewies damit seine Geduld und Ausdauer, so Trend Micro. Er hatte es auf Vorstandsmitglieder, Führungskräfte und sogar Familienmitglieder des milliardenschweren Firmeninhabers abgesehen.

    Wie Trend Micro in seiner Analyse feststellte, scheint die Gruppe bereit zu sein, in nahezu jedem Sektor tätig zu werden, in dem wertvolle Daten zu finden sind, darunter Telekommunikation, Funk- und Satellitenkommunikation, Banken, Luftfahrt und Krankenversicherungen und sogar Kliniken für In-vitro-Fertilisation (IVF) in Russland, Biotechnologie und Gentests.

    “Was Void Balaur von den meisten cyberkriminellen Gruppen abhebt, ist die schiere Anzahl der verschiedenen Arten von kriminellen Aktivitäten, in die sie verwickelt sind”, erklärte Archie Agarwal, CEO von ThreatModeler, gegenüber Threatpost in Reaktion auf den Bericht. “Es hat den Anschein, dass sie in fast jedem Industriesektor und bei jeder Art von Daten tätig sind und es sogar auf hochrangige Personen abgesehen haben. Sie scheinen nicht zu diskriminieren”.

    Der Aufstieg der Cyber-Söldner

    Trend Micro kam zu dem Schluss, dass das Ökosystem der Cyber-Söldner durch das Interesse globaler Regierungen am Einsatz dieser bösartigen Akteure als Teil ihrer nationalen Cybersicherheitsstrategien gestärkt wird.

    “Erstens können die Dienste und Werkzeuge von Cyber-Söldnern für offensive Angriffe gegen Terrorismus und organisierte Kriminalität sowie für das Anvisieren ausländischer Vermögenswerte genutzt werden”, warnten die Forscher. “Zweitens können sie auch an andere Länder verkauft und als wirtschaftliches oder politisches Instrument in der Außenpolitik eingesetzt werden. Dies mag zwar für einige Länder von Vorteil sein, birgt aber auch ein enormes Risiko für mögliche Rückwirkungen, wenn böswillige Elemente diese Tools nutzen. Schlimmer noch: Tools, die ins Ausland verkauft wurden, könnten am Ende gegen Bürger des Landes eingesetzt werden, das diese Tools ursprünglich exportiert hat.”

    Möchten Sie die Kontrolle über die fadenscheinigen Passwörter zurückgewinnen, die zwischen Ihrem Netzwerk und dem nächsten Cyberangriff stehen? Darren James, Leiter der internen IT-Abteilung bei Specops, und Roger Grimes, Evangelist für datengesteuerte Verteidigung bei KnowBe4, zeigen Ihnen in der kostenlosen LIVE-Veranstaltung “Password Reset”, wie das geht: Kontrolle über Anmeldeinformationen erlangen, um Angriffe zu stoppen”, am Mittwoch, den 17. November um 14 Uhr ET. Gesponsert von Specops.

    Registrieren Sie sich JETZT für die LIVE-Veranstaltung!

    Einige Teile dieses Artikels stammen aus:
    threatpost.com