Trend Micro veröffentlicht neue Forschungsergebnisse, die detailliert die Vorgehensweise einer Auftragshacker-Gruppe offenlegen, die seit 2015 mindestens 3.500 Privatpersonen und Unternehmen angriff. Der Bericht gibt Aufschluss über die Aktivitäten einer Gruppe von Akteuren, die sich selbst „Rockethack“ nennt , von Trend Micro jedoch als „Void Balaur“ bezeichnet wird.
Mindestens seit dem Jahr 2018 wirbt die Gruppe ausschließlich in russischsprachigen Foren und erhält dabei ausnahmslos positive Bewertungen. Der Schwerpunkt liegt auf zwei Formen von Aktivitäten: dem Hacken von E-Mail- und Social-Media-Konten und dem Verkauf hochsensibler personenbezogener und geschäftlicher Informationen. Darunter befinden sich Telekommunikations-, Flugpassagier-, Bank- und Reisepassdaten.
Void Balaur verlangt für derartige Aktivitäten Preise von etwa 20 US-Dollar für eine gestohlene Kredithistorie, über 69 US-Dollar für Aufnahmen von Verkehrs-Kameras und bis zu 800 Dollar für Gesprächsaufzeichnungen von Telefonaten mit den Standortangaben der Mobilfunkmasten.
Zu den weltweiten Zielen gehören Telekommunikationsanbieter in Russland, Hersteller von Geldautomaten, Finanzdienstleister, Krankenversicherungen und Kinderwunsch-Kliniken – also Unternehmen die hochsensible und potenziell lukrative Informationen speichern.
Die Gruppe nimmt zudem Journalisten, Menschenrechtsaktivisten, Politiker, Wissenschaftler, Ärzte, Nutzer von Kryptowährungen und technische Verantwortliche in Telekommunikationsunternehmen ins Visier.
Im Laufe der Jahre sind ihre Aktivitäten immer dreister geworden. Zu den Zielen gehören der ehemalige Leiter eines Geheimdienstes, sieben amtierende Minister und ein Dutzend Parlamentsabgeordnete in europäischen Ländern. Einige ihrer Ziele – darunter religiöse Führer, Diplomaten und Journalisten – überschneiden sich auch mit der berüchtigten Gruppe Pawn Storm (APT28, Fancy Bear).
Trend Micro bringt tausende von Indikatoren mit Void Balaur in Verbindung, die auch für Unternehmen als Bestandteil der umfassenden Threat Intelligence zur Verfügung stehen. Am häufigsten setzt die Gruppe Phishing-Taktiken ein, manchmal auch datenentwendende Malware wie Z*Stealer oder DroidWatcher.
Darüber hinaus bietet die Gruppe an, E-Mail-Konten ohne Benutzerinteraktion zu hacken. Jedoch ist unklar, wie ihr das gelingt - beispielsweise mit Hilfe von Insidern oder über einen angegriffenen E-Mail-Anbieter.
Zum Schutz vor Cyber-Söldnern sollten Anwender sollten folgende Maßnahmen ergreifen:
- Nutzen Sie verlässliche E-Mail-Dienste von einem renommierten Anbieter mit hohen Datenschutzstandards.
- Verwenden Sie für Ihre E-Mail- und Social-Media-Konten Multi-Faktor-Authentifizierung anstelle eines einmaligen SMS-Passcodes.
- Gebrauchen Sie für Ihre Kommunikation Anwendungen mit Ende-zu-Ende-Verschlüsselung.
- Setzen Sie Verschlüsselung wie PGP (Pretty Good Privacy) für sensible Kommunikation ein.
- Löschen Sie Nachrichten, die Sie nicht mehr benötigen, um die Menge an potenziell zu stehlenden Daten zu minimieren.
- Nutzen Sie Laufwerksverschlüsselung auf allen Endgeräten.
- Schalten Sie Laptops und Computer aus, wenn diese nicht benutzt werden.
- Setzen Sie einen Cybersicherheitsplattform-Ansatz um, durch welchen die gesamte Angriffskette erkannt und entsprechend reagiert werden kann.