Ciberdelincuentes apuntan a las cadenas de frío de vacunas contra el COVID-19

En diciembre de 2020 IBM Security X-Force, el equipo de investigación de seguridad comercial de IBM, publicó una investigación que revela que las cadenas de frío de las vacunas contra el COVID-19 a nivel global son el nuevo objetivo de los ciberdelincuentes.

Los expertos descubrieron una campaña basada en correos electrónicos fraudulentos en los que atacantes se hacían pasar por Haier Biomedical, una empresa clave en el suministro de vacunas y que afirma ser el proveedor de la cadena de frío más completa del mundo. Con esta fachada enviaron mensajes a todo tipo de proveedores con el fin de obtener información privilegiada.

El pasado abril, el equipo reveló que halló 50 archivos adicionales vinculados a correos dirigidos a 44 compañías en 14 países. El Espectador se contactó con Claire Zaboeva, analista senior de amenazas cibernéticas en IBM Security X-Force y Melissa Frydrych, investigadora en la misma organización, quienes revelaron detalles sobre estos ataques.

¿Cuándo se percataron de este ataque? ¿Hubo alguna razón por la que no se identificó durante la investigación anterior?

Claire Zaboeva (CZ): Esta campaña comenzó en septiembre de 2020 y fue descubierta por IBM Security X-Force en octubre. En diciembre de 2020 se dio a conocer la investigación inicial; sin embargo, este nuevo descubrimiento que anunciamos en enero, y al público en abril, fue sobre el hallazgo de 50 archivos adicionales que pueden haber estado vinculados a correos electrónicos de ‘spear phishing’ potencialmente dirigidos a otras 44 compañías en 14 países de Europa, América del Norte, Sudamérica, África y Asia. Hemos seguido analizando la campaña después de la publicación con el fin de proporcionar una imagen más integral de la actividad y compartir cualquier novedad que pueda ayudar a los miembros de la cadena de frío.

Lea también: Se duplican ciberataques a sectores clave en la lucha contra el COVID-19

¿En qué consiste la modalidad del ‘spear phishing’ y en qué se diferencia con el ‘phishing’ tradicional?

CZ: El ‘phishing’ tradicional contiene un mensaje general y se dirige a una gran cantidad de personas, mientras que el ‘spear phishing’ se elabora cuidadosamente para dirigirse a una persona específica.

¿Exactamente qué se pedía por medio de esta campaña? ¿Ingresar a vínculos maliciosos? ¿Compartir información privilegiada?

Melissa Frydrych (MF): La actualización incluye a las organizaciones clave que probablemente apuntan al transporte, depósito, almacenamiento y distribución de vacunas. Los atacantes podrían estar buscando infiltrarse en la cadena de suministro extendida de COVID-19 a través de ‘spear phishing’ para obtener información de aspectos como el tránsito de las vacunas de COVID-19 a través de varias naciones y territorios; requerimientos técnicos claves alrededor de almacenamiento, depósito o transporte; horarios clave para la distribución; acuerdos que facilitan el tránsito y el comercio, entre otras cosas.

En el reporte mencionan que los correos iban dirigidos a 44 compañías en 14 países, ¿cuáles son dichos países?

MF: Para aclarar, no encontramos 44 mensajes de correo electrónico adicionales; la mayoría de los nuevos hallazgos son archivos html que contienen direcciones de correo electrónico que sospechamos que están conectadas con e-mails de ‘spear phishing’. Múltiples industrias en diferentes países pueden haber sido afectadas, incluyendo:

· Transporte: Italia, Corea, Japón, Colombia y Estados Unidos

· Salud: República Checa, Alemania y Estados Unidos

· Tecnologías de la Información y Electrónicos: Bulgaria, Francia, Polonia, Ucrania y Estados Unidos

¿Han podido identificar de dónde provienen los ataques? ¿Si se trata de una sola organización o de varios ciberdelincuentes que actúan de manera independiente?

MF: Lo que sí sabemos es que esta campaña parecía estar muy orquestada y probablemente el actor continuará sus esfuerzos para alcanzar los objetivos asociados a la cadena de frío de la vacuna. Por eso, seguiremos realizando investigaciones y haciendo pública cualquier cosa que podamos para ayudar a crear conciencia de que los miembros de la cadena de frío deben permanecer alerta.

Le puede interesar: Twitter le dará el 80 % del recaudo de los “Ticketed Spaces” a los anfitriones

Ustedes mencionan un listado de información privilegiada que los atacantes podrían estar intentando infiltrar, ¿cuáles podrían ser sus fines? Especialmente al tratarse de una campaña planeada incluso antes de la aprobación de vacunas en el mundo.

CZ: Aunque no sabemos exactamente lo que estos actores de amenazas estaban procurando, evaluamos que estaban tratando de pre-posicionarse dentro de la infraestructura global emergente de las cadenas de frío de la vacuna de COVID-19. Ellos podrían estar buscando hacer una serie de cosas con estos ataques, desde obtener información sobre los Advanced Market Commitments, dado que los países se esfuerzan por obtener acceso a vacunas que pueden salvar la vida y la economía, hasta robar la propiedad intelectual para aprender sobre los requisitos técnicos para el almacenamiento y transporte de vacunas, e incluso procesos seguros para la distribución. Asimismo, los atacantes podrían estar buscando llevar a cabo un ataque disruptivo o destructivo, para impactar en la distribución de la vacuna.

¿Los trabajadores de compañías de estas industrias deben tener prácticas diferentes a las que un usuario promedio debe tener en internet? ¿Cómo pueden identificar estas amenazas a tiempo?

MF: Confiar pero verificar. Ahora es el momento de escudriñar todo desde los aliados. De levantar el teléfono y llamarlos para confirmar que los e-mails o archivos adjuntos no solicitados son realmente de parte de ellos. Limitar el acceso de empleados a la información sensible. Sólo dar acceso a aquellos que lo necesitan para sus roles. Usar la autenticación multifactor (MFA) en toda la organización. Esta es una capa extra de defensa que impide que un mal actor tenga acceso aunque haya conseguido con éxito nombres de usuario, e-mails y contraseñas. Revisar la seguridad del sitio web antes de enviar o ingresar información sensitiva, por ejemplo, preguntarse ¿el URL inicia con HTTPS indicando que la conexión está encriptada?

¿Los ataques fueron fructíferos o se detuvieron a tiempo? ¿Qué daño se alcanzó a hacer?

CZ: Desafortunadamente, no tenemos visibilidad de la segunda etapa de estos ataques.

Una vez identificados los ataques, ¿cómo es el proceso de notificación de este tipo de amenazas de parte de IBM a las compañías afectadas?

MF: Trabajamos estrechamente con un enlace en entregar información a las organizaciones apropiadas, tales como CERT, y otros socios extranjeros, siguiendo con nuestra política responsable de divulgación.

En diciembre de 2020 IBM Security X-Force, el equipo de investigación de seguridad comercial de IBM, publicó una investigación que revela que las cadenas de frío de las vacunas contra el COVID-19 a nivel global son el nuevo objetivo de los ciberdelincuentes.

Los expertos descubrieron una campaña basada en correos electrónicos fraudulentos en los que atacantes se hacían pasar por Haier Biomedical, una empresa clave en el suministro de vacunas y que afirma ser el proveedor de la cadena de frío más completa del mundo. Con esta fachada enviaron mensajes a todo tipo de proveedores con el fin de obtener información privilegiada.

El pasado abril, el equipo reveló que halló 50 archivos adicionales vinculados a correos dirigidos a 44 compañías en 14 países. El Espectador se contactó con Claire Zaboeva, analista senior de amenazas cibernéticas en IBM Security X-Force y Melissa Frydrych, investigadora en la misma organización, quienes revelaron detalles sobre estos ataques.

¿Cuándo se percataron de este ataque? ¿Hubo alguna razón por la que no se identificó durante la investigación anterior?

Claire Zaboeva (CZ): Esta campaña comenzó en septiembre de 2020 y fue descubierta por IBM Security X-Force en octubre. En diciembre de 2020 se dio a conocer la investigación inicial; sin embargo, este nuevo descubrimiento que anunciamos en enero, y al público en abril, fue sobre el hallazgo de 50 archivos adicionales que pueden haber estado vinculados a correos electrónicos de ‘spear phishing’ potencialmente dirigidos a otras 44 compañías en 14 países de Europa, América del Norte, Sudamérica, África y Asia. Hemos seguido analizando la campaña después de la publicación con el fin de proporcionar una imagen más integral de la actividad y compartir cualquier novedad que pueda ayudar a los miembros de la cadena de frío.

Lea también: Se duplican ciberataques a sectores clave en la lucha contra el COVID-19

¿En qué consiste la modalidad del ‘spear phishing’ y en qué se diferencia con el ‘phishing’ tradicional?

CZ: El ‘phishing’ tradicional contiene un mensaje general y se dirige a una gran cantidad de personas, mientras que el ‘spear phishing’ se elabora cuidadosamente para dirigirse a una persona específica.

¿Exactamente qué se pedía por medio de esta campaña? ¿Ingresar a vínculos maliciosos? ¿Compartir información privilegiada?

Melissa Frydrych (MF): La actualización incluye a las organizaciones clave que probablemente apuntan al transporte, depósito, almacenamiento y distribución de vacunas. Los atacantes podrían estar buscando infiltrarse en la cadena de suministro extendida de COVID-19 a través de ‘spear phishing’ para obtener información de aspectos como el tránsito de las vacunas de COVID-19 a través de varias naciones y territorios; requerimientos técnicos claves alrededor de almacenamiento, depósito o transporte; horarios clave para la distribución; acuerdos que facilitan el tránsito y el comercio, entre otras cosas.

En el reporte mencionan que los correos iban dirigidos a 44 compañías en 14 países, ¿cuáles son dichos países?

MF: Para aclarar, no encontramos 44 mensajes de correo electrónico adicionales; la mayoría de los nuevos hallazgos son archivos html que contienen direcciones de correo electrónico que sospechamos que están conectadas con e-mails de ‘spear phishing’. Múltiples industrias en diferentes países pueden haber sido afectadas, incluyendo:

· Transporte: Italia, Corea, Japón, Colombia y Estados Unidos

· Salud: República Checa, Alemania y Estados Unidos

· Tecnologías de la Información y Electrónicos: Bulgaria, Francia, Polonia, Ucrania y Estados Unidos

¿Han podido identificar de dónde provienen los ataques? ¿Si se trata de una sola organización o de varios ciberdelincuentes que actúan de manera independiente?

MF: Lo que sí sabemos es que esta campaña parecía estar muy orquestada y probablemente el actor continuará sus esfuerzos para alcanzar los objetivos asociados a la cadena de frío de la vacuna. Por eso, seguiremos realizando investigaciones y haciendo pública cualquier cosa que podamos para ayudar a crear conciencia de que los miembros de la cadena de frío deben permanecer alerta.

Le puede interesar: Twitter le dará el 80 % del recaudo de los “Ticketed Spaces” a los anfitriones

Ustedes mencionan un listado de información privilegiada que los atacantes podrían estar intentando infiltrar, ¿cuáles podrían ser sus fines? Especialmente al tratarse de una campaña planeada incluso antes de la aprobación de vacunas en el mundo.

CZ: Aunque no sabemos exactamente lo que estos actores de amenazas estaban procurando, evaluamos que estaban tratando de pre-posicionarse dentro de la infraestructura global emergente de las cadenas de frío de la vacuna de COVID-19. Ellos podrían estar buscando hacer una serie de cosas con estos ataques, desde obtener información sobre los Advanced Market Commitments, dado que los países se esfuerzan por obtener acceso a vacunas que pueden salvar la vida y la economía, hasta robar la propiedad intelectual para aprender sobre los requisitos técnicos para el almacenamiento y transporte de vacunas, e incluso procesos seguros para la distribución. Asimismo, los atacantes podrían estar buscando llevar a cabo un ataque disruptivo o destructivo, para impactar en la distribución de la vacuna.

¿Los trabajadores de compañías de estas industrias deben tener prácticas diferentes a las que un usuario promedio debe tener en internet? ¿Cómo pueden identificar estas amenazas a tiempo?

MF: Confiar pero verificar. Ahora es el momento de escudriñar todo desde los aliados. De levantar el teléfono y llamarlos para confirmar que los e-mails o archivos adjuntos no solicitados son realmente de parte de ellos. Limitar el acceso de empleados a la información sensible. Sólo dar acceso a aquellos que lo necesitan para sus roles. Usar la autenticación multifactor (MFA) en toda la organización. Esta es una capa extra de defensa que impide que un mal actor tenga acceso aunque haya conseguido con éxito nombres de usuario, e-mails y contraseñas. Revisar la seguridad del sitio web antes de enviar o ingresar información sensitiva, por ejemplo, preguntarse ¿el URL inicia con HTTPS indicando que la conexión está encriptada?

¿Los ataques fueron fructíferos o se detuvieron a tiempo? ¿Qué daño se alcanzó a hacer?

CZ: Desafortunadamente, no tenemos visibilidad de la segunda etapa de estos ataques.

Una vez identificados los ataques, ¿cómo es el proceso de notificación de este tipo de amenazas de parte de IBM a las compañías afectadas?

MF: Trabajamos estrechamente con un enlace en entregar información a las organizaciones apropiadas, tales como CERT, y otros socios extranjeros, siguiendo con nuestra política responsable de divulgación.