Les pirates embauchés par Void Balaur vendent des boîtes aux lettres volées et des données privées

  • Principal
  • Nouvelles
  • Les pirates embauchés par Void Balaur vendent des boîtes aux lettres volées et des données privées

Un groupe de pirates informatiques nommé Void Balaur vole des e-mails et des informations hautement sensibles depuis plus de cinq ans, les revendant à des clients à des fins d'espionnage et financières.

Avec plus de 3 500 cibles réparties sur presque tous les continents, cet acteur menaçant prolifique publie ses rapports sur les forums clandestins russes.

Les chercheurs en sécurité de Trend Micro analysant les activités de Void Balaur affirment que le modèle commercial de l'acteur consiste à voler 'les données les plus privées et personnelles des entreprises et des particuliers' et à les vendre aux clients intéressés.

Les destinataires comprennent des particuliers et des organisations de divers secteurs (télécommunications, vente au détail, finance, médecine, biotechnologie), en particulier s'ils ont accès à des données privées.

Void Balaur n'est pas seulement impliqué dans le piratage des boîtes aux lettres, il est également impliqué dans la vente d'informations privées sensibles de ses cibles. Cela inclut les données d'enregistrement de la tour cellulaire, les détails du passeport, les messages SMS et plus encore. De plus, Void Balaur semble cibler de nombreuses organisations et personnes susceptibles d'avoir accès à des données humaines hautement sensibles » - Trend Micro

Large gamme de services et d'objectifs

On pense que l'activité de piratage de Void Balaur remonte à 2015, bien que les premières références à cet acteur remontent à septembre 2017, sous la forme de plaintes pour spam du groupe faisant la publicité de leurs services.

Des publicités payantes pour Void Balaur ont commencé à apparaître en 2018 sur les forums en langue russe Darkmoney (cartes), Probiv, Tenec (identifiants volés) et Dublikat.

Les services comprenaient l'accès au webmail gratuit (Gmail, Protonmail, Mail.ru, Yandex, VK), aux réseaux sociaux (Telegram) et aux comptes de messagerie d'entreprise. Les pirates auraient offert aux clients des copies des boîtes aux lettres piratées.

Tarification des services d'acteur de menace Void Balaur

(converti en devise américaine sur la base du taux de change du 14 septembre 2021)

En 2019, les services du groupe se sont diversifiés lorsqu'ils ont commencé à vendre des données privées sensibles de particuliers russes à des prix de départ compris entre 21 et 124 dollars. Les informations comprenaient :

  • passeport et informations de vol
  • instantanés de la caméra de circulation
  • données de la police de la circulation (amendes, plaque d'immatriculation)
  • registre des armes
  • Dossier criminel
  • histoire de credit
  • solde et relevés de compte bancaire
  • registres des services fiscaux

Les nouveaux services fournissaient également des données de service cellulaire telles que les numéros de téléphone, les journaux d'appels et de SMS (avec ou sans emplacement de répéteur), la cartographie des appels, l'emplacement du téléphone ou de la carte SIM, les impressions de SMS.

On ne sait pas comment les Balaurs du Néant ont obtenu ces informations. La corruption d'initiés dans les entreprises de télécommunications est une explication.

Un autre, pour lequel Trend Micro dispose de preuves à l'appui, est le piratage d'ingénieurs clés et de personnes occupant des postes de direction dans diverses sociétés de télécommunications en Russie.

Les objectifs de l'acteur menaçant Void Balaur dans les télécommunications

Les cibles de Void Balaur sont plus diverses que cela, et les attaques contre elles remontent au moment où Trend Micro a trouvé plus de 3 500 adresses e-mail de particuliers et d'entreprises dans des attaques attribuées à cet acteur menaçant.

Selon des rapports de l'organisation canadienne à but non lucratif eQualitie et d'Amnesty International, les enquêteurs pourraient établir un lien entre les activités de Void Balaur et les attaques qui ont débuté en 2016 contre des militants des droits humains et des journalistes en Ouzbékistan.

L'activité la plus récente du groupe en septembre 2020 visait des personnalités politiques en Biélorussie, des candidats à la présidentielle et un membre d'un parti d'opposition.

En septembre 2021, des pirates ont ciblé les 'adresses électroniques privées d'un ancien chef d'une agence de renseignement, de cinq ministres actifs du gouvernement (dont le ministre de la Défense) et de deux membres du parlement national d'un pays' Europe de l'Est '.

Des personnalités politiques et des diplomates d'autres pays (Arménie, Ukraine, Kazakhstan, Russie, France, Italie, Norvège, Slovaquie), des médias et des dizaines de journalistes font également partie des cibles de l'activité de phishing de Void Balaur.

Dans une autre campagne qui a duré entre septembre 2020 et août 2021, Void Balaur a ciblé les membres du conseil d'administration, les administrateurs et les cadres (et les membres de leur famille) d'entreprises d'une grande société russe.

Les bénéficiaires de ces attaques restent inconnus, mais les campagnes d'espionnage à long terme servent souvent les intérêts de l'État, des entreprises ou des politiques.

Un autre ensemble de cibles comprend les organisations manipulant de grandes quantités de données individuelles sensibles, qui pourraient être utilisées pour faciliter des attaques à motivation financière :

  • Principales entreprises de téléphonie mobile et de télécommunications
  • Fournisseurs d'équipements cellulaires
  • Société de communication radio et satellite
  • Vendeurs de guichets automatiques
  • Fournisseurs de système de point de vente (POS)
  • Fintech et banques
  • compagnies d'aviation commerciale
  • Organismes d'assurance maladie dans au moins trois régions de Russie
  • Cliniques de Fécondation In Vitro (FIV) en Russie
  • Entreprises de biotechnologie qui offrent des services de tests génétiques.

En plus de cela, Void Balaur a constamment cherché à accéder aux portefeuilles de crypto-monnaie de divers échanges (Binance, EXMO, BitPay, YoBit), en utilisant des sites de phishing pour attirer les victimes.

Dans le cas des utilisateurs de phishing EXMO, bien que l'acteur de la menace ait plusieurs domaines, l'un d'eux était utilisé depuis près de trois ans.

Superposer l'activité de l'ours fantaisie

Void Balaur est apparu sur le radar de Trend Micro après qu'une source ait fourni plusieurs e-mails de phishing que les chercheurs pensaient initialement être l'œuvre de Pawn Storm, un acteur de la menace russe également connu sous le nom de Fancy Bear, Sednit, Pawn Storm. Et Strontium.

Bien qu'ils aient fini par attribuer les e-mails à Void Balaur, les chercheurs ont également trouvé un chevauchement entre les deux groupes, même si les pirates informatiques mandatés affichaient des clients et des cibles plus différents.

'Au total, nous avons observé une douzaine d'adresses e-mail ciblées à la fois par Pawn Storm pendant la période 2014-2015 et Void Balaur 2020-2021', écrivent aujourd'hui les chercheurs dans un rapport.

En plus des chefs religieux, nous avons également vu des attaques contre des diplomates, des politiciens et un journaliste de Pawn Storm et Void Balaur, a ajouté Trend Micro.

D'après les preuves recueillies par Trend Micro, il est clair que Void Balaur se concentre sur la vente de données privées à quiconque est prêt à payer le juste prix. C'est un groupe de cybermercenaires qui ne se soucient pas de ce que font leurs clients avec les données qu'ils achètent.

Qu'est-ce que tu penses?