Una campaña global de spear-phishing se ha dirigido a organizaciones asociadas con la distribución de vacunas COVID-19 desde septiembre de 2020, según una nueva investigación.
Al atribuir la operación a un actor del estado-nación, los investigadores de IBM Security X-Force dijeron que los ataques tenían como objetivo la cadena de frío de la vacuna, empresas responsables de almacenar y entregar la vacuna COVID-19 a temperaturas seguras.
El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) a emitir una alerta , instando a las organizaciones y empresas de Operation Warp Speed ( OWS ) involucradas en el almacenamiento y transporte de vacunas a revisar los indicadores de compromiso (IoC) y reforzar sus defensas.
No está claro si alguno de los intentos de phishing tuvo éxito, pero la compañía dijo que ha notificado a las entidades y autoridades correspondientes sobre este ataque dirigido.
Los correos electrónicos de phishing, que datan de septiembre, estaban dirigidos a organizaciones en Italia, Alemania, Corea del Sur, la República Checa, la Gran Europa y Taiwán, incluida la Dirección General de Impuestos y Unión Aduanera de la Comisión Europea, fabricantes de paneles solares no identificados, un software de Corea del Sur. empresa de desarrollo y una empresa alemana de desarrollo de sitios web.
IBM dijo que los ataques probablemente se dirigieron a organizaciones vinculadas a la alianza de vacunas Gavi con el objetivo de recopilar credenciales de usuario para obtener acceso no autorizado en el futuro a las redes corporativas e información confidencial relacionada con la distribución de la vacuna COVID-19.
Para dar a los correos electrónicos un aire de credibilidad, los operadores detrás de la operación crearon señuelos que se hicieron pasar por solicitudes de cotizaciones para participar en un programa de vacunas. Los atacantes también se hicieron pasar por un ejecutivo comercial de Haier Biomedical, un proveedor legítimo de cadena de frío con sede en China, en un intento de convencer a los destinatarios de que abran los correos electrónicos entrantes sin cuestionar la autenticidad del remitente.
«Los correos electrónicos contienen archivos adjuntos HTML maliciosos que se abren localmente, lo que solicita a los destinatarios que ingresen sus credenciales para ver el archivo», dijeron las investigadoras de IBM, Claire Zaboeva y Melissa Frydrych.
Aunque los investigadores no pudieron establecer las identidades del actor de la amenaza, parece que el objetivo final es recolectar los nombres de usuario y las contraseñas y abusar de ellos para robar propiedad intelectual y moverse lateralmente a través de los entornos de las víctimas para las campañas de espionaje posteriores.
La investigación de la vacuna COVID-19 surge como un objetivo lucrativo
La investigación y el desarrollo de la vacuna COVID-19 ha sido blanco de ciberataques sostenidos desde principios de año.
En junio, IBM reveló detalles de una campaña de phishing similar dirigida a una entidad alemana relacionada con la adquisición de equipos de protección personal (PPE) de cadenas de suministro y compras con sede en China.
Los ataques cibernéticos llevaron al Departamento de Justicia de EE. UU. A cobrar a dos ciudadanos chinos por robar datos confidenciales, incluso de empresas que desarrollan vacunas COVID-19, pruebas de tecnología y tratamientos, mientras operan tanto para obtener ganancias financieras privadas como en nombre del Ministerio de Seguridad del Estado de China.
En noviembre, Microsoft dijo que detectó ataques cibernéticos de tres agentes estatales en Rusia (Fancy Bear también conocido como Strontium) y Corea del Norte (Hidden Cobra y Cerium) dirigidos contra compañías farmacéuticas ubicadas en Canadá, Francia, India, Corea del Sur y los EE. UU. participan en las vacunas COVID-19 en varias etapas de los ensayos clínicos.
La semana pasada, se supo que los presuntos piratas informáticos norcoreanos se han dirigido a la farmacéutica británica AstraZeneca haciéndose pasar por reclutadores en el sitio de redes LinkedIn y WhatsApp para acercarse a sus empleados con ofertas de trabajo falsas y engañarlos para que abran lo que supuestamente son documentos de descripción del trabajo para obtener acceso a sus sistemas e instalar malware.
