Unos hackers han estado llevando a cabo una campaña de phishing contra empresas farmacéuticas y otras instituciones involucradas en la futura distribución de la vacuna contra el coronavirus, según ha dado a conocer IBM este jueves.
En un post en Security Intelligence, los investigadores de IBM Security X-Force escribieron que “la precisa focalización con la que apuntaron a ejecutivos y organizaciones globales clave tienen el sello de un estado-nación”, y añadieron que estos hackers desconocidos probablemente buscaban obtener “información avanzada sobre la compra y movimiento de la vacuna”. El objetivo, según IBM, parecía ser la “cadena de frío”, un término fundamental para la red logística que permite transportar vacunas y otros medicamentos desde el punto de fabricación hasta la distribución en contenedores a una temperatura determinada. Se desconoce lo que los atacantes esperaban lograr, y sus motivos pueden ir desde el robo de este tipo de tecnología hasta conseguir información que podría usarse para minar la confianza en la vacuna o para interrumpir su distribución.
Los investigadores de IBM escribieron que los ataques fueron dirigidos a empresas en al menos seis países y utilizaron múltiples tácticas de phishing. Muchos de los objetivos estaban vinculados al programa sobre cadena de frío de la alianza internacional de vacunas Gavi e incluían organismos de la Unión Europea clave en la distribución de vacunas, otras como UNICEF, y también empresas que fabrican paneles solares que se utilizan en los sistemas de almacenamiento en frío y empresas de tecnología encargadas de proteger a farmacéuticas:
Los objetivos incluían la Dirección General de Fiscalidad y Unión Aduanera, así como organizaciones dentro de los sectores de energía, manufacturación, creación de software y páginas web y soluciones de seguridad en Internet. Estas son organizaciones globales con oficinas en Alemania, Italia, Corea del Sur, República Checa, Europa del este y Taiwán.
Los correos electrónicos de spear-phishing enviados incluían archivos HTML maliciosos que pedían a los destinatarios que ingresaran sus credenciales para iniciar de sesión, que posteriormente recibirían los hackers.
La explicación más probable es que se trate de algún estado-nación porque no hay una forma clara para que estos ciberdelincuentes lo conviertan en “efectivo”, explicaron los investigadores de IBM en un comunicado. También es posible que los hackers estén interesados en utilizar las credenciales robadas para lanzar ataques de ransomware sobre los contenedores que estén controlados por ordenador. Según el Washington Post, no está claro si los hackers tuvieron éxito en alguno de sus intentos de phishing.
“Esta actividad tuvo lugar en septiembre, lo que significa que alguien está buscando adelantarse, preparándose para estar donde sea necesario en el momento crítico”, dijo a Wired la analista senior de amenazas cibernéticas de IBM tarSecurity X-Force, Claire Zaboeva. “La puerta está totalmente abierta. Una vez que has conseguido las llaves del reino y estás dentro de las murallas de la ciudad o en la red, hay una gran cantidad de objetivos que puedes alcanzar, ya sea información crítica, como horarios o distribución, o ataques disruptivos”.