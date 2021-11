Trend Micro met à jour le groupe de cyber-mercenaires ‘Void Balaur’

novembre 2021 par Trend Micro

Selon le rapport Trend Micro intitulé ‘Void Balaur : Tracking a Cybermercenary’s Activities’, ces cyber-mercenaires auraient ciblé pas moins de 3 500 individus et organisations, parmi lesquels des défenseurs des droits de l’homme, des journalistes, des responsables politiques et des ingénieurs en télécommunications.

« Le développement des activités de cyber-mercenaires est une conséquence de l’industrialisation de la cybercriminalité. Du fait de la demande croissante pour leurs services et en raison de la protection de certains de ces acteurs par des États, il est difficile de les identifier et de mettre un terme à leurs actions », explique Nicolas Arpagian, Director, Cybersecurity Strategy - Trend Micro. « C’est la raison pour laquelle la meilleure forme de défense aujourd’hui consiste à tenir informée l’industrie de la réalité de la menace. Dans cet esprit, les recherches que nous menons, ainsi que le partage des meilleures pratiques cyber permettant de contrecarrer les agissements des attaquants, sont plus que jamais essentiels à la sécurité collective. »

Les agissements de ‘Void Balaur’

Le groupe fait, au moins depuis 2018, de la publicité uniquement sur des forums russophones et récolte des commentaires unanimement favorables. Il s’attache à gagner de l’argent à travers deux activités connexes : l’intrusion au sein de messageries électroniques et de profils sur les réseaux sociaux et la vente d’informations personnelles et financières très sensibles (données relatives aux télécommunications, enregistrements de vols de passagers, données bancaires, informations liées aux passeports…).

Les tarifs pratiqués par ‘Void Balaur’ pour ses activités varient de 18 dollars pour des données fiscales à plus de 800 dollars pour l’accès à des enregistrements d’appels téléphoniques géolocalisés. Les cibles du groupe sont aussi bien des opérateurs télécoms russes, des fournisseurs de distributeurs automatiques de billets, des sociétés de services financiers, des assureurs médicaux, ou encore des cliniques de fécondation in vitro – soit des organisations connues pour stocker des informations très sensibles et potentiellement monétisables. Le groupe cible également des journalistes, des défenseurs des droits de l’homme, des dirigeants politiques, des scientifiques, des médecins, des ingénieurs télécoms et des utilisateurs de crypto-monnaies.

Au fil des années, le choix de ses victimes s’est diversifié. Ainsi, l’ancien chef d’une agence de renseignement, sept ministres en activité et une douzaine de membres de parlements de pays européens figurent parmi les cibles. Certaines d’entre elles - dont des chefs religieux, des diplomates et des journalistes - ont également été visées par le célèbre groupe Pawn Storm (APT28, Fancy Bear). Trend Micro a associé à ‘Void Balaur’ des milliers d’indicateurs et les a transmis aux organisations ciblées. Le collectif déploie le plus souvent des tactiques d’hameçonnage pour parvenir à ses fins, via parfois des logiciels malveillants tels que Z*Stealer ou DroidWatcher.

« Bien que l’on ne connaisse pas en détails son mode opératoire, Void Balaur propose également le piratage de comptes de messagerie sans intervention directe de l’utilisateur, c’est-à-dire avec l’aide de complices ou par l’intermédiaire d’un fournisseur de messagerie ayant fait l’objet d’une violation préalable de ses systèmes », explique Nicolas Arpagian.

Afin de faire face aux cyber-mercenaires tels que ‘Void Balaur’, Trend Micro recommande d’adopter les mesures suivantes :

• Opter pour des services de messagerie électronique robustes proposées par un fournisseur réputé disposant de normes de confidentialité élevées.

• Choisir une authentification à plusieurs facteurs pour sécuriser l’accès aux comptes de messagerie et aux réseaux sociaux via une application spécialisée plutôt qu’en utilisant un code SMS à usage unique.

• Utiliser des applications avec un chiffrement de bout en bout pour les communications.

• Privilégier le chiffrement comme PGP pour les communications sensibles.

• Supprimer définitivement de sa messagerie les courriels inutiles, afin de minimiser les risques.

• Chiffrer les disques sur l’ensemble du parc informatique.

• Éteindre les PC portables et les ordinateurs dès qu’ils ne sont plus utilisés.

• S’appuyer sur une plate-forme de cybersécurité capable de détecter et de réagir à l’ensemble de la chaîne d’attaque.