A lo largo de la pandemia, el equipo de investigación de Proofpoint ha observado la adaptación de los ciberataques a medida que se producían nuevos acontecimientos en esta crisis sanitaria: primero, con cebos sobre la existencia del virus y, posteriormente, en relación a la escasez de recursos médicos, entre otros temas. En estos momentos en los que la actualidad informativa gira en torno a la vacuna contra el coronavirus, Proofpoint ha detectado un aumento de las amenazas bajo este tema en todas sus vertientes, ya sea con la aprobación de la vacuna por parte de gobiernos de distintos países, su distribución y administración entre grupos de pacientes.
La compañía de ciberseguridad y cumplimiento normativo recopila a continuación ejemplos recientes de estos ataques que ha detectado cuyo objetivo era propagar malware, phishing o BEC. En ellos se observa cómo los atacantes abusan de entidades reconocidas o remitentes de confianza para tener mayor éxito. De ahí, la importancia de que en las organizaciones se implemente una estrategia basada en tecnología y personas, como recomienda Proofpoint, a fin de ayudar a prevenir, detectar y responder frente a posibles ataques, poniendo énfasis en la formación a empleados en las mejores prácticas de seguridad para conformar una sólida última línea de defensa.
Phishing para robar credenciales de Office 365
En esta campaña de principios de enero dirigida a diferentes empresas en Estados Unidos y Canadá, los ciberdelincuentes se aprovecharon de la reciente aprobación de las vacunas contra la Covid-19 por parte de ambos gobiernos, así como de las prisas por recibir las primeras dosis.
Los mensajes instaban a las potenciales víctimas a hacer clic en un enlace malicioso a través del cual supuestamente confirmarían su email o se registrarían en una página para recibir sus correspondientes vacunas. Sin embargo, el fin último era hacerse con sus credenciales de acceso a Office 365 (tanto el correo electrónico como la contraseña del usuario).
Ataques BEC sobre fusiones o adquisiciones augurando una próxima recuperación económica
A los ciberdelincuentes también les vino bien echar mano de la idea de que «toda crisis representa al mismo tiempo una oportunidad». Del 1 al 15 diciembre de 2020, Proofpoint detectó una campaña de ataques BEC (compromiso de correo electrónico corporativo) en la que los atacantes suplantaban a directivos para conseguir apoyos ante una falsa fusión o adquisición confidencial de una empresa en el extranjero. Una operación que, según los correos fraudulentos, estaría impulsada por la recuperación económica mundial que traería consigo la llegada de las ansiadas vacunas.
Abuso del logo y el nombre de la OMS para distribuir el malware AgentTesla
A través de asuntos de correo electrónico en los que se hacía referencia a nuevas vacunas aprobadas contra la Covid-19, Proofpoint reportó mensajes fraudulentos en los que se hacía un uso indebido del nombre y el logo de la Organización Mundial de la Salud (OMS) como principal señuelo. Dentro del email aparecía asimismo un archivo adjunto malicioso que, una vez ejecutado por el usuario, propagaba el keylogger AgentTesla. No es la primera vez que estos atacantes se dedican a distribuir también RATs, stealers o downloaders, ya que en Proofpoint llevan registrando dicha actividad por su parte desde al menos 2019. Esta última campaña se inició el pasado 12 de enero con el punto de mira en numerosos sectores empresariales de Estados Unidos.
Correos electrónicos suplantando a la compañía DHL
En Estados Unidos, Alemania y Austria se produjo el 14 de enero una campaña de phishing con correos supuestamente procedentes de la compañía de logística DHL que informaban de la llegada de un paquete con vacunas. El destinatario de ese supuesto envío tenía que entrar en un enlace para reconfirmar su dirección, dejando así sus credenciales en manos de los ciberdelincuentes.