Menneskerettighedsaktivister, journalister, politikere, telekommunikationsingeniører og læger er blandt dem, der er blevet målrettet af gruppen, som er blevet detaljeret beskrevet af cybersikkerhedsforskere hos Trend Micro. De har døbt det Void Balaur efter et flerhovedet væsen fra slavisk folklore.
Cyberlejesoldatgruppen har annonceret for sine tjenester på russisksprogede fora siden 2018. De vigtigste tjenester, der tilbydes, er at bryde ind på e-mail- og sociale mediekonti, samt stjæle og sælge følsomme personlige og økonomiske oplysninger. Angrebene vil også lejlighedsvis falde informationstjælende malware på enheder, der bruges af ofre.
Se også: En vindende strategi for cybersikkerhed (ZDNet-særrapport). < /p>
Det ser ud til at være ligegyldigt, hvem målene er – så længe dem, der står bag angrebene, bliver betalt af deres entreprenører. Der køres kun en håndfuld kampagner ad gangen, men de, der køres, får Void Balaurs fulde opmærksomhed i hele varigheden.
“Der vil bare være et dusin mål om dagen, normalt færre. Men disse mål er højprofilerede mål — vi fandt regeringsministre, parlamentsmedlemmer, en masse mennesker fra medierne og en masse mennesker af læger,” sagde Feike Hacquebord, senior trusselsforsker for Trend Micro til ZDNet, der talte forud for forskningen, der præsenteres på Black Hat Europe.
Nogle af de målrettede omfatter den tidligere efterretningschef og fem aktive medlemmer af regeringen i et uspecificeret europæisk land.
De personer og organisationer, der er målrettet mod, er spredt over hele verden og spænder over Nordamerika, Europa, Rusland, Indien og mere. Mange af angrebene ser ud til at være politisk motiverede, udført mod mennesker i lande, hvor ofret, hvis det bliver afsløret, kan få deres menneskerettigheder krænket af regeringer.
Ligesom andre ondsindede hacking-kampagner er indgangspunktet for mange Void Balaur-kampagner phishing-e-mails, som er skræddersyet til det valgte offer. Men gruppen hævder også at tilbyde muligheden for at få adgang til nogle e-mail-konti uden nogen brugerinteraktion overhovedet, og tilbyder denne service til en overpris sammenlignet med andre angreb.
Tjenesten relaterer sig til flere russiske e-mail-udbydere, og forskningspapiret bemærker: “Vi har ingen grund til at tro, at det ikke er et rigtigt forretningstilbud”.
Nogle af kampagnerne fortsætter i længere perioder. For eksempel var en rettet mod et uspecificeret stort konglomerat i Rusland aktiv fra mindst september 2020 til august 2021 og målrettede ikke kun ejeren af virksomhederne, men også deres familiemedlemmer og seniormedlemmer af alle virksomheder under samme virksomhed paraply.
“Der er et sæt virksomheder, der ejes af én person, og hans familiemedlemmer blev målrettet, virksomhedernes administrerende direktører blev målrettet, og det hele sker over mere end et år,” sagde Hacquebord.
Hackerne-til-udlejning retter sig mod en bred vifte af ofre i mange industrier på foranledning af den, der hyrer deres ulovlige tjenester – men hovedtemaet er, at målene er næsten alle organisationer og enkeltpersoner, der har adgang til store mængder følsomme data .
For eksempel har én kampagne målrettet mindst 60 IVF-læger. Der er mange følsomme oplysninger involveret i sundhedsvæsenet, men der er også udvekslet mange penge, så det er muligt, at slutmålet med denne særlige Void Balaur-kontrakt var personlige data, økonomiske data eller begge dele.
Se også: Vil du ikke blive hacket? Undgå så disse tre 'usædvanligt farlige' cybersikkerhedsfejl.
En anden kampagne var rettet mod senioringeniører, der arbejder for mobiltelefonselskaber, overvejende i Rusland, men der var også mål i Vesten. Disse personer ville være nyttige til at gå på kompromis for cyberspionagekampagner.
“Hvis du er i stand til at kompromittere disse ingeniører, kan du måske få fodfæste i virksomheden. Du ser det samme for banker og fintech — nøglepersoner bliver målrettet. Disse mennesker har meget adgang til information, det matcher tilbudene fra Void Balaur,” sagde Hacquebord.
Forskere har ikke tilskrevet Void Balaur til noget bestemt land eller region, men bemærk, at angriberne arbejder mange timer, starter omkring kl. 06.00 GMT og går igennem til kl. 19.00 GMT. De, der arbejder for gruppen, ser ud til at være aktive syv dage om ugen og holder sjældent ferie – hvilket potentielt indikerer den store efterspørgsel efter deres tjenester.
“Cyberlejesoldater er en uheldig konsekvens af nutidens enorme cyberkriminalitetsøkonomi,” sagde Hacquebord
“I betragtning af nationalstaternes umættelige efterspørgsel efter deres tjenester og husly af nogle aktører, er det usandsynligt, at de forsvinder snart. Den bedste form for forsvar er at øge industriens bevidsthed om truslen i rapporter som denne og tilskynde til bedste praksis cybersikkerhed for at hjælpe med at modarbejde deres indsats,” tilføjede han.
For at beskytte mod hackingkampagner fra cyberlejesoldater og andre ondsindede cyberkriminelle anbefaler forskere hos Trend Micro at bruge multifaktorgodkendelse til at beskytte e-mail og konti på sociale medier – og at bruge en app eller fysisk nøgle i stedet for en engangs-SMS-adgangskode , som kunne udnyttes af angribere.
Det anbefales også, at folk bruger e-mail-tjenester fra en velrenommeret udbyder med høje privatlivsstandarder, og at kryptering bør bruges til så mange kommunikationer som muligt.
Mere om cybersikkerhed
Sådan bekæmper Formel 1-holdene cyberangreb.Cyberkriminalitetsgrupper sælger deres hackingfærdigheder. Nogle lande køber.Virksomheder taler ikke om at være ofre for cyberangreb. Det skal ændres.En virksomhed opdagede et sikkerhedsbrud. Derefter fandt efterforskere denne nye mystiske malware.Disse snigende hackere undgår Windows, men målretter mod Linux, da de prøver at stjæle telefondata.
Privatliv
Sådan gør du privatlivet til din virksomheds 'killer app' Personligt identificerbare oplysninger (PII): Hvad det er, hvordan det bruges, og hvordan man beskytter det Databeskyttelse og datasikkerhed er ikke den samme Cybersikkerhed 101: Beskyt dit privatliv mod hackere, spioner og regeringen Sikkerheds-tv | Datastyring | CXO | Datacentre