El actor potencial del Estado-nación se dirige a COVID-19 …



Las empresas involucradas en tecnologías para mantener las vacunas lo suficientemente frías para un almacenamiento y transporte seguros están siendo blanco de una sofisticada campaña de spear-phishing, dice IBM.

Las personas de varias organizaciones que participan en la cadena de suministro de la vacuna COVID-19 están siendo blanco de una campaña organizada de spear-phishing que parece estar diseñada para recolectar sus credenciales en línea para futuros ataques.

Están en riesgo los datos asociados con componentes críticos y participantes en la llamada cadena de frío que garantiza la conservación segura de las vacunas COVID-19 durante el almacenamiento y transporte. Un ejemplo es el posible robo de propiedad intelectual asociado con contenedores alimentados por paneles solares diseñados para mantener frías las vacunas COVID-19 en países donde la energía confiable no está fácilmente disponible.

Los investigadores del equipo X-Drive de IBM Security, que descubrieron la amenaza, describieron que la campaña de spear-phishing abarcaba seis países y apuntaba a entidades asociadas con Gavi, Worldwide Vaccine Alliance y el programa Chilly Chain Gear Optimization Platform (CCEOP).

Según IBM, la campaña, especialmente la focalización en víctimas, tiene todas las características de la actividad respaldada por el estado. Sin embargo, el proveedor no llegó a identificar a ningún grupo o gobierno que pudiera estar patrocinando la actividad.

«El propósito de la campaña parece ser la recolección de credenciales», dice Melissa Frydyrch, investigadora de caza de amenazas en IBM Safety X Power. «Después de obtener credenciales legítimas, es posible que un adversario lleve a cabo una gran cantidad de acciones potenciales, desde recopilar información reasonable o crítica hasta ataques posteriores disruptivos o destructivos».

La campaña de spear-phishing en sí involucra un correo electrónico supuestamente de un ejecutivo de Haier Biomedical, una empresa china que actualmente es proveedora del programa Gavi CCEOP.

Los mensajes de phishing se hacen pasar por solicitudes de cotizaciones (RFQ) relacionadas con el programa CCEOP de UNICEF y contienen enlaces maliciosos destinados a recopilar credenciales, dice Frydyrch.

El cuerpo del correo electrónico es el mismo para cada destinatario y explica que Haier Biomedical tiene la intención de realizar un pedido con la empresa del destinatario. Proporciona estipulaciones contractuales que deben cumplirse, como los pagos por adelantado de unidades de refrigeración específicas y la verificación por parte de UNICEF para completar las transacciones. Adjunto a los correos electrónicos hay un archivo html malicioso «RFQ – UNICEF CCEOP and Vaccine Venture», dice Frydyrch.

«Una vez que se abre el archivo adjunto del correo electrónico, al usuario se le presenta una imagen borrosa del documento y una ventana para que el usuario full su nombre de usuario y contraseña», dice. «No observamos ningún malware adjunto a los archivos HTML. Los archivos HTML son solo para obtener credenciales».

Segmentación sofisticada
Lo que hace que la campaña sea peligrosa es la focalización, lo que sugiere que el adversario tiene un profundo conocimiento de los participantes y componentes clave en la cadena de frío de la vacuna COVID-19, dijo IBM en su reporte. Los objetivos de la campaña de phishing hasta ahora han incluido fabricantes de paneles solares y empresas asociadas con petroquímicos que se utilizan para producir hielo seco, un componente clave de la cadena de frío de la vacuna. Otros objetivos han incluido la Dirección Normal de Fiscalidad y Unión Aduanera de la Comisión Europea y un desarrollador de sitios internet alemán con clientes en los sectores farmacéutico, de contenedores, biotecnología y componentes de comunicación.

En total, IBM ha contado al menos 10 organizaciones en seis países que han sido atacadas hasta ahora, dice Frydyrch. Todos los correos electrónicos de phishing que IBM ha descubierto hasta ahora se hacen pasar por el mismo administrador de cuentas clave de Haier Biomedical, dice. Frydyrch describe a los destinatarios como ejecutivos selectos en puestos de ventas, adquisiciones, TI y finanzas.

«Es posible que los destinatarios tengan acceso directo a información comercial smart asociada con la participación de sus respectivas empresas en las operaciones de la cadena de frío», agrega.

Carl Wearn, director de delitos electrónicos de Mimecast, dice que la nueva campaña es otro recordatorio de cómo los ciberatacantes siempre están listos para aprovechar los eventos importantes para recolectar datos confidenciales. En los últimos meses se han visto numerosos ataques dirigidos a empresas de atención médica involucradas en la investigación de COVID-19, y ahora el enfoque se ha desplazado a entidades en la cadena de suministro de vacunas.

Una forma en que los atacantes intentarán monetizar los datos de credenciales robados es usarlos para lanzar ataques de ransomware, predice.

«Es casi seguro que los atacantes más tradicionales o menos hábiles estén buscando una amplia gama de propiedad intelectual para vender», dice. Los clientes potenciales podrían incluir competidores, estados-nación o grupos involucrados en su propia investigación independiente.

«Tampoco descartaría la motivación potencial de una interrupción significativa que bien podría ser causada por el uso de program de limpiaparabrisas para intentar prolongar los períodos de daño económico e incertidumbre para los estados individuales», agrega Wearn.

Bob Rudis, científico jefe de datos de Immediate7, dice que la pandemia ha sido una bendición tanto para los ciberatacantes como para lo que él describe como estafadores de desastres que buscan ganar dinero rápido a expensas de otros.

Según Rudis, Speedy7 ha observado un aumento reciente en los registros de dominio que involucran nombres con temas de vacunas. Él sospecha que con el frenesí genuine en torno a la disponibilidad de vacunas, los atacantes intentarán usar dominios falsos para estafar a las personas para que proporcionen información de cuentas financieras para adquirir vacunas falsas.

Los nuevos dominios con temas de vacunas también podrían llevar a algunos a intentar ingresar en «listas avanzadas» y solo terminar con sus dispositivos terminales comprometidos o su información personalized robada, dice.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original