Void Balaur: Der Aufstieg der „Cyber-Söldner“

Originalartikel von Trend Micro Research

Hinter den Taten von Cyberkriminellen stecken unterschiedliche Motivationen: Einige haben beispielsweise destabilisierende politische Angriffe zum Ziel, während sich andere eher mit Cyberspionage und zum Sammeln von Informationen über ihre Opfer beschäftigen. Natürlich ist der finanzielle Profit nach wie vor eines der wichtigsten Motive für Kriminalität. Einige böswillige Akteure, wie z. B. Ransomware-Betreiber, verdienen direkt an ihren Cyberangriffen. Andere ziehen es jedoch vor, als „Cyber-Söldner“ zu agieren und ihre Dienste an jeden zu verkaufen, der bereit ist zu zahlen. Einer der produktivsten cyberkriminellen Gruppen ist Void Balaur, russischsprachige Bedrohungsakteure, die Angriffe auf verschiedene Sektoren und Branchen in der ganzen Welt durchgeführt hat. Die Gruppe bietet eine breite Palette von Dienstleistungen an, ist aber vor allem auf Cyberspionage und Informationsdiebstahl spezialisiert und verkauft hochsensible Informationen über Einzelpersonen in Untergrundforen und auf Websites wie Probiv.

Die Gruppe hat es vor allem auf E-Mail-Konten und Postfächer abgesehen. Neben Standardkopien von Postfächern, die wahrscheinlich mit Hilfe von Credential-Phishing gestohlen wurden, bietet Void Balaur auch solche Kopien an, mit denen noch nicht interagiert wurde – natürlich zu einem höheren Preis. Diese Option ist besonders interessant, da es normalerweise äußerst schwierig wäre, den Inhalt eines Postfachs ohne jegliche Benutzerinteraktion abzugreifen. Dieses Angebot lässt schließt Möglichkeiten wie Insiderhilfe oder gar die Kompromittierung der Systeme des E-Mail-Anbieters nicht aus.

Bild 1. Länder, in denen sich die E-Mail-Ziele von Void Balaur gefunden wurden

Darüber hinaus bietet Void Balaur seinen Kunden auch Zugang zu einer großen Menge privater Daten, darunter Informationen wie Flug- und Reisedaten (Pässe und Ticketkäufe), Strafregister, Finanzdaten und Kreditverläufe, Rentenfonds und sogar Ausdrucke von SMS-Nachrichten. Es ist verständlich, dass die Dienste eines Cyber-Söldnern wie Void Balaur gefragt sind – diese Art von Informationen können für jemand, der einen Angriff auf bestimmte Ziele starten will, sehr nützlich sein.

Void Balaurs hochkarätige Ziele

Die Angriffe von Void Balaur heben sich besonders den häufig gehobenen Status ihrer Ziele hervor. Die Bedrohungsakteure sind dafür bekannt, dass sie ihre Dienste einem allgemeineren Publikum anbieten – wie die Online-Anzeigen im Untergrund andeuten. Doch Untersuchungen von Gruppen wie eQualit.ie und Amnesty International zeigen, dass die Gruppe wahrscheinlich auch an Angriffen auf hochrangige Opfer beteiligt ist, die von Menschenrechtsaktivisten und Journalisten bis hin zu Politikern und sogar Präsidentschaftskandidaten reichen. Eine der bemerkenswerteren Kampagnen umfasste Angriffe, die auf die privaten Mail-Adressen von Regierungsbeamten und Politikern in einem osteuropäischen Land im September 2021 abzielten.

Void Balaur wird seiner Bezeichnung als Cyber-Söldner gerecht und beschränkt sich nicht auf die geopolitische Szene. Auch Organisationen, die Zugang zu einer großen Menge privater Informationen haben, sind häufige Opfer. Diese Ziele sind in verschiedenen Branchen zu finden, z. B. Telekommunikation, Einzelhandel, Finanzsektor, Medizin und sogar der Biotechnologie. Zu den bevorzugten Opfern gehören Organisationsleiter und Mitarbeiter, die stark in das Kerngeschäft des Unternehmens involviert sind, da diese Personen eher Zugang zu der Art von Informationen haben, die die Gruppe sucht.

Eindämmung von Cyber-Söldnerangriffen

Nach allem, was wir über Cyber-Söldner wie Void Balaur wissen, ist es wahrscheinlich, dass diese Gruppen Zugang zu einer Vielzahl von Tools und Infrastrukturen haben, die es ihnen ermöglichen, Angriffe selbst gegen prominente Personen und Organisationen zu starten. Nichtsdestotrotz ist der Einsatz und Umsetzung der richtigen Sicherheitsvorkehrungen bei der Abwehr hilfreich. Die folgenden Best Practices können dabei helfen, Cyberangriffe im Allgemeinen zu vereiteln:

  • Nehmen Sie die Dienste eines renommierten Providers in Anspruch, der der Sicherheit hohe Priorität einräumt.
  • Erwägen Sie die Verwendung spezieller Zweifaktor-Authentifizierungs-Apps oder -Geräte wie Yubikey, statt sich lediglich auf SMS zu verlassen.
  • Verwenden Sie Verschlüsselungssysteme für die Kommunikation, insbesondere wenn es sich dabei um sensible Informationen handelt.
  • Verschlüsseln Sie die Laufwerke aller Computer und anderer Geräte, die der Speicherung sensibler Daten dienen.
  • Löschen Sie alte Mails und Nachrichten, um die Wahrscheinlichkeit, dass ein Angreifer Zugang zu privaten Informationen erhält, verringert wird.

Mehr Informationen über die Aktivitäten und Ziele von Void Balaur finden Sie im Whitepaper „Void Balaur: Tracking a Cybermercenary’s Activities“.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.