Una campaña global de phishing dirigido ha estado apuntando a organizaciones asociadas con la distribución de vacunas COVID-19 desde septiembre de 2020, según una nueva investigación.
Al atribuir la operación a un actor del estado-nación, los investigadores de IBM Security X-Force dijeron que los ataques tenían como objetivo la cadena de frío de vacunas, las empresas responsables de almacenar y entregar la vacuna COVID-19 a temperaturas seguras.
El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a emitir una alerta, instando a las organizaciones y empresas de Operation Warp Speed (OWS) involucradas en el almacenamiento y transporte de vacunas a revisar los indicadores de compromiso (IoC) y reforzar su defensas
No está claro si alguno de los intentos de phishing tuvo éxito, pero la compañía dijo que ha notificado a las entidades y autoridades correspondientes sobre este ataque dirigido.
Los correos electrónicos de phishing, que datan de septiembre, se dirigieron a organizaciones en Italia, Alemania, Corea del Sur, la República Checa, Europa y Taiwán, incluida la oficina europea Dirección General de Impuestos y Unión Aduanera, fabricantes de paneles solares no identificados, un software de Corea del Sur empresa de desarrollo y una empresa alemana de desarrollo de sitios web.
IBM dijo que los ataques probablemente se dirigieron a organizaciones vinculadas a la alianza de vacunas Gavi con el objetivo de recopilar las credenciales de los usuarios para obtener acceso no autorizado en el futuro a las redes corporativas e información confidencial relacionada con la distribución de la vacuna COVID-19.
Para dar a los correos electrónicos un aire de credibilidad, los operadores detrás de la operación crearon señuelos que se hicieron pasar por solicitudes de cotizaciones para participar en un programa de vacunas. Los atacantes también se hicieron pasar por un ejecutivo comercial de Haier Biomedical, un proveedor legítimo de cadena de frío con sede en China, en un intento de convencer a los destinatarios de abrir los correos electrónicos entrantes sin cuestionar la autenticidad del remitente.
«Los correos electrónicos contienen archivos adjuntos HTML maliciosos que se abren localmente, lo que solicita a los destinatarios que ingresen sus credenciales para ver el archivo», dijeron las investigadoras de IBM Claire Zaboeva y Melissa Frydrych.
Aunque los investigadores no pudieron establecer las identidades del autor de la amenaza, parece que el objetivo final es recolectar los nombres de usuario y contraseñas y abusar de ellos para robar propiedad intelectual y moverse lateralmente a través de los entornos de las víctimas para campañas de espionaje posteriores.
Surge la investigación de la vacuna COVID-19 y un objetivo lucrativo
La investigación y el desarrollo de la vacuna COVID-19 ha sido objeto de ataques cibernéticos sostenidos desde principios de año.
En junio, IBM reveló detalles de una campaña de phishing similar dirigida a una entidad alemana relacionada con la adquisición de equipos de protección personal (PPE) de las cadenas de suministro y compras con sede en China.
Los ataques cibernéticos llevaron al Departamento de Justicia de EE. UU. a acusar a dos ciudadanos chinos por robar datos confidenciales, incluso de compañías que desarrollan vacunas, tecnología de prueba y tratamientos contra el COVID-19, mientras operaban tanto para obtener ganancias financieras privadas como en nombre del Ministerio de Seguridad del Estado de China.
En noviembre, Microsoft dijo que detectó ataques cibernéticos de tres agentes de estados-nación en Rusia (Fancy Bear, también conocido como Strontium) y Corea del Norte (Hidden Cobra y Cerium) dirigidos contra compañías farmacéuticas ubicadas en Canadá, Francia, India, Corea del Sur y EE. UU. que están involucrados en las vacunas COVID-19 en varias etapas de ensayos clínicos.
Luego, la semana pasada, se supo que presuntos piratas informáticos norcoreanos se dirigieron a la farmacéutica británica AstraZeneca haciéndose pasar por reclutadores en el sitio de redes LinkedIn y WhatsApp para acercarse a sus empleados con ofertas de trabajo falsas y engañarlos para que abrieran lo que supuestamente eran documentos de descripción del trabajo para obtener acceso. a sus sistemas e instalar malware.
