Vaccine manufacturing & distribution companies victims to spear phishing | EasyDMARC

Vaccine manufacturing & distribution companies victims to spear phishing

8 min de lectura
Vaccine manufacturing and distribution companies are falling victim to spear phishing

En los últimos meses, Estados Unidos de Norteamérica, ha concretado planes para distribuir 2,9 millones de dosis de vacunas contra el COVID-19. Mientras tanto, múltiples criminales cibernéticos llevan a cabo un ataque contra las empresas involucradas en la cadena de suministro para estas vacunas. El pasado 3 de diciembre, hubo un aviso por parte de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) quienes advirtieron que estos atacantes enviaron múltiples correos electrónicos fraudulentos usando la táctica de “spear phishing” a cientos de ejecutivos de organizaciones a nivel mundial, haciéndose pasar por empresas biomédica solicitando asociaciones para manejos y logísticas para el almacenamiento de la vacuna en frío. Aún no se ha confirmado si estos ataques han tenido éxito.

Los ataques que se llevaron a cabo fueron detectados por la división Security X-Force de IBM, quienes identificaron el uso de spear phishing por parte de los delincuentes. Los correos electrónicos estaban dirigidos expresamente a ejecutivos y empleados de cientos de empresas específicas involucradas en la cadena de suministro de las vacunas. Los ataques de phishing por correo electrónico comenzaron específicamente en septiembre del 2020, con correos falseados por atacantes haciéndose pasar por empleados de la empresa Haier Biomedical, una multinacional can base en China, y debidamente calificada públicamente en la plataforma de Optimización de Equipos de Cadena de Frío para proporcionar este tipo de almacenamiento para las vacunas.

Puntos clave para detectar correos electrónicos de spear phishing y phishing:

  • Los ataques de spear phishing probablemente se originan como correos estadales o representando una nación.
  • Los ataques están dirigidos a empresas que trabajan en la cadena de suministro de la vacuna COVID-19.
  • Los correos electrónicos contienen un enlace de phishing que parecen ser enviados por una empresa china real con las capacidades para ofrecer almacenamiento en frío para las dosis de la vacuna.

Desde la detección del fenómeno, se ha instado a todas las empresas en la cadena de suministro a que actúen rápidamente en la creación de protocolos de defensa y seguridad para sus flujos de correo electrónico para la prevención de este tipo de ataques. Los correos electrónicos de phishing fueron enviados a diferentes organizaciones que apoyan a diversos clientes incluidos en los canales de fabricación y distribución de la vacuna. Estas organizaciones están constituidas por gobiernos, fabricantes de paneles solares, fábricas  que producen hielo seco y empresas IT. Los paneles solares son usados para darle energía a los refrigeradores usados para mantener la vacuna en frío.

El correo electrónico de spear phishing solicita cotizaciones formales para participar en dicho programa, y remite al destinatario un borrador del contrato en formato HTML como documento adjunto. Al abrir el documento, se le pide al destinatario que ingrese información sensible, tales como credenciales. Al recolectar esta  información, los atacantes cibernéticos obtienen acceso a las redes corporativas y son libres de recopilar la información que necesiten sobre la distribución de las dosis de la vacuna e incluso orquestar operaciones de sabotaje.

Los spear phishers lucen como actores reales del estado-nación

Dada el nivel de sofisticación de los ataques y el alto nivel de los objetivos (ejecutivos y empleados involucrados en el almacenamiento y distribución de vacunas), lo más probable es que los atacantes sean de otras naciones. Aunque las probabilidades son altas en términos de su origen, IBM no ha podido identificar positivamente la fuente de estos ataques cibernéticos.

Este incidente ocurre casi de forma inmediata a un ataque de spear phishing llevado a cabo en Marzo del año 2020. En esta ocasión, un número de empresas alemanas fueron el blanco, cuando los atacantes intentaron obtener acceso a equipos PPE. IBM pudo rastrear ese ataque e identificó una serie de direcciones IP de origen Ruso. Posteriores investigaciones han demostrado cómo a menudo, la gran mayoría de filtraciones de datos comienzan con ataques de spear phishing  a través de cuentas de correo electrónico.

El ataque más reciente remarca la importancia de seguir un protocolo adecuado en la configuración de la seguridad cibernética, en cada etapa de las cadenas de suministro de vacunas, tal como lo señala Josh Corman, Asesor Senior de CISA para asuntos relacionados con COVID-19 y la seguridad pública, a través de una campaña de correos electrónicos dirigida a múltiples organizaciones y medios de comunicación.

Vaccine-manufacturing-and-distribution- companies-are-falling-victim-to-spear-phishing

Defensas clave contra el spear phishing

Existen dos tipos de defensas contra los correos electrónicos de phishing. El primero es el uso de puertas de enlace aseguradas para los correo electrónico que entran las bandejas de los empleados de confianza (SEG o Select Employee Group,según sus siglas en inglés), esto es  para detectar y bloquear este tipo de correos electrónicos antes de que alcancen las bandejas de entrada de sus objetivos. 

El segundo método de defensa es la capacitación y concientización sobre la importancia de la seguridad cibernética a tu cuerpo de empleados, ofreciéndo las herramientas que les permitan reconocer y descartar este tipo de correos electrónicos. Debemos tener en cuenta que los correos electrónicos de phishing que atacan las cadenas de suministro de la vacuna COVID-19 se ven 100% legítimos, de hecho son excelentes imitaciones que parecen provenir de una empresa legítima con destinatarios que esperan ser contactados.

Tenemos una complicación adicional con el archivo HTML adjunto, ya que no existen plataformas o herramientas que permitan a los equipos de seguridad descubrirlas y eliminarlas. Muchas veces la gramática del correo electrónico no es óptima, pero ya que la empresa biomédica impostora tiene su sede en China, los destinatarios de este tipo de correos electrónicos usualmente excusan este detalle.

Toda empresa pueden hacer más para protegerse contra este tipo de ataques:

  • Pueden capacitar a sus empleados con frecuencia y crear conciencia sobre los aspectos más importantes de la ciberseguridad. Puedes advertirles que eviten a toda costa ofrecer credenciales o datos sensibles en sus correos electrónicos salientes.
  • Es necesario implementar y actualizar las listas SEG. Hay que asegurarse de que las puertas de enlace puedan escanear eficientemente todos los tipos de archivos adjuntos.
  • Que se vuelva práctica común el uso de protocolos de autenticación multifactor (MFA). Al  requerir un segundo método de autorización para acceder a cualquiera de tus plataformas de trabajo, las credenciales que sean robadas no funcionarán por sí solas, ya que no son suficientes para obtener acceso a las redes de la empresa.
  • Implementa prácticas de seguridad con todos tus asociados externos, aunque tu empresa tenga un sólido plan para la detección y respuestas ante amenazas. Asegúrate  que las vías de comunicación con empresas asociadas a la cadena de suministro estén protegidas de manera similar.
  • Asegúrate de compartir la información que se genere sobre ataques con tus empresas asociadas o incluso con tus competidores en el ramo. Mientras exista más información, podrán configurarse mejores formas de protección. Por ejemplo, la división Security X-Force de IBM mantiene una base de datos detallando todas las amenazas identificadas en su haber y ofrecen esta información de forma gratuita a cualquier organización que lo necesite.
  • Puede sonar terrible, pero no confíes en nadie en línea. Brinda a tus usuarios el acceso mínimo que necesiten para hacer su trabajo.
  • Crea y prueba diversos planes para responder debidamente ante incidentes de este tipo. 

Conclusión

La importancia de la vacuna contra el COVID-19 es un aspecto crítico y crucial a nivel mundial en la lucha contra esta pandemia, no es de sorprender que las empresas que fabrican y distribuyen las vacunas estén siendo víctimas de ataques. Estas empresas tienen el deber de estar al tanto de los ataques de phishing por correo electrónico, así como la misión de desarrollar un sistema de defensas internas que sea sólido. Esta misma preocupación afecta a múltiples organizaciones que mantienen asociaciones de seguridad con empresas de cadenas de suministros.