Cyberthreat.id - Kelompok hacker bayaran cyber yang dijuluki "Void Balaur" dikaitkan dengan serangkaian aktivitas spionase cyber dan pencurian data yang menargetkan ribuan entitas serta aktivis hak asasi manusia, politisi, dan pejabat pemerintah di seluruh dunia. Aktivitas tersebut setidaknya berlansung sejak 2015 untuk keuntungan finansial sambil bersembunyi di balik bayang-bayang.

Dinamakan many-headed-dragon dari cerita rakyat Rumania, kedok mereka tersingkap setelah mengiklankan layanannya di forum bawah tanah berbahasa Rusia sejak 2017. Mereka menjual harta informasi sensitif seperti log telepon menara seluler, catatan penerbangan penumpang, kredit laporan, data perbankan, pesan SMS, dan detail paspor. Aktor ancaman menyebut dirinya "Rockethack."

"Grup yang disewa peretas ini tidak beroperasi di luar bangunan fisik, juga tidak memiliki prospektus mengkilap yang menggambarkan layanannya," kata peneliti Trend Micro Feike Hacquebord dalam profil kolektif yang baru diterbitkan sebagaimana dirilis The Hacker News, Jumat (12 November 2021).

"Grup ini tidak mencoba keluar dari posisi sulit dengan membenarkan bisnisnya, juga tidak terlibat dalam tuntutan hukum terhadap siapa pun yang mencoba melaporkan aktivitas mereka. Sebaliknya, grup ini cukup terbuka tentang apa yang dilakukannya: membobol akun email dan akun media sosial untuk uang," tambah Hacquebord.

Selain mendapatkan ulasan positif yang hampir bulat di forum karena kemampuannya untuk menawarkan informasi berkualitas, Void Balaur diyakini telah berfokus pada pertukaran cryptocurrency. Untuk itu mereka membuat banyak situs phishing untuk mengelabui pengguna pertukaran cryptocurrency untuk mendapatkan akses tidak sah ke dompet mereka. Terlebih lagi, kampanye telah melibatkan penyebaran pencuri informasi dan spyware Android seperti Z*Stealer dan DroidWatcher terhadap targetnya.

Perangkat intrusi Void Balaur diamati telah dikerahkan terhadap berbagai individu dan entitas, termasuk jurnalis, aktivis hak asasi manusia, politisi, ilmuwan, dokter yang bekerja di klinik IVF, perusahaan genomik dan bioteknologi, dan insinyur telekomunikasi. Trend Micro mengatakan telah menemukan lebih dari 3.500 alamat email yang menjadi tujuan grup tersebut.

Sebagian besar target kelompok dikatakan berlokasi di Rusia dan negara tetangga lainnya seperti Ukraina, Slovakia, dan Kazakhstan, dengan korban juga berlokasi di AS, Israel, Jepang, India, dan negara-negara Eropa. Organisasi yang diserang menjalankan keseluruhan dari penyedia telekomunikasi, perusahaan komunikasi satelit, dan perusahaan fintech hingga vendor mesin ATM, vendor point-of-sale (PoS), dan perusahaan biotek.

"Void Balaur mengejar data paling pribadi dan pribadi dari bisnis dan individu kemudian menjual data itu kepada siapa pun yang ingin membayarnya," kata para peneliti. Alasan mengapa individu dan entitas ini menjadi sasaran masih belum diketahui.

Juga tidak segera jelas seberapa sensitif catatan telepon dan email diperoleh dari target tanpa interaksi, meskipun para peneliti menduga bahwa pelaku ancaman dapat secara langsung (atau tidak langsung) melibatkan orang dalam yang nakal di perusahaan terkait untuk menjual data atau dengan mengkompromikan akun karyawan dengan akses ke kotak surat email yang ditargetkan.

Analisis mendalam Trend Micro juga menemukan beberapa kesamaan dengan kelompok ancaman persisten canggih berbasis di Rusia lainnya bernama Pawn Storm (alias APT28, Sofacy, atau Iron Twilight), dengan tumpang tindih yang diamati pada alamat email yang ditargetkan antara kedua kelompok, sementara juga berbeda secara signifikan dalam beberapa hal, termasuk modus operandi Void Balaur untuk menyerang pengguna cryptocurrency dan jam operasional mereka.

Jika ada, perkembangan tersebut sekali lagi menyoroti maraknya aktivitas terkait tentara bayaran ilegal di dunia maya dan permintaan akan layanan semacam itu, dengan sejumlah operasi — BellTroX (alias Dark Basin), Bahamut, CostaRicto, dan PowerPepper — yang telah terungkap seperti yang menyasar lembaga nirlaba, lembaga keuangan, dan lembaga pemerintah dalam beberapa bulan terakhir.

Untuk mempertahankan diri dari serangan peretasan, disarankan untuk mengaktifkan otentikasi dua faktor (2FA) melalui aplikasi autentikator atau kunci keamanan perangkat keras, mengandalkan aplikasi dengan enkripsi end to end (E2EE) untuk email dan komunikasi, dan menghapus secara permanen , pesan yang tidak diinginkan untuk mengurangi risiko paparan data.

"Kenyataannya pengguna internet biasa tidak dapat dengan mudah menghalangi tentara bayaran cyber yang gigih," para peneliti menyimpulkan. "Sementara [alat ofensif canggih di gudang senjata tentara bayaran cyber] mungkin dimaksudkan untuk digunakan dalam perang melawan terorisme dan kejahatan terorganisir, kenyataannya mereka - sadar atau tidak sadar - berakhir di tangan aktor ancaman yang menggunakannya."[]