Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Ciberdelincuentes atacan cadenas de suministros de la vacuna COVID-19 y venden la vacuna en la Darkweb




Los actores de amenazas continúan intercambiando datos médicos críticos en la Dark Web mientras las organizaciones participan en la respuesta a la pandemia de COVID-19. Expertos de Cyble descubrieron en varios foros de la web oscura, la oferta de enormes repositorios de medicina crítica que se robaron de múltiples organizaciones.



Las organizaciones de ciberdelincuencia continúan siendo muy activas, mientras que las organizaciones farmacéuticas participan en el desarrollo de una vacuna COVID-19 y medicamentos para curar las infecciones.

Los expertos de Cyble descubrieron en varios foros de la web oscura, la oferta de enormes repositorios de medicina crítica que se robaron de múltiples organizaciones.

Los actores de amenazas intentan vender supuestas investigaciones confidenciales de vacunas y bases de datos que contienen PII.

"A medida que COVID-19 continúa dominando los titulares, los datos confidenciales de investigación de vacunas generan suficientes oportunidades de monetización para los ciberdelincuentes". lee el post publicado por Cyble. "Además de las bases de datos de COVID-19 que contienen PII confidencial que se filtran en Internet, una de las preocupaciones de seguridad críticas es la inmensa cadena de frío logística de la vacuna".

Recientemente, IBM advirtió sobre los ataques contra la cadena de frío de la vacuna COVID-19 que comenzó en septiembre de 2020.Los expertos descubrieron una campaña de phishing a gran escala que ha estado en curso desde septiembre de 2020. Los actores de amenazas se hacen pasar por una empresa biomédica, Haier Biomedical, y están enviando mensajes de spear-phishing a ejecutivos y organizaciones globales involucradas en el almacenamiento y transporte de vacunas. Haier Biomedical es una empresa miembro legítima de la cadena de suministro de vacunas COVID-19, también es un proveedor calificado para el programa CCEOP.


Los investigadores de IBM X-Force advirtieron sobre los actores de amenazas que atacan activamente a las organizaciones asociadas con la cadena de frío de la vacuna COVID-19. Los expertos descubrieron una campaña de spear-phishing a gran escala que ha estado en curso desde septiembre de 2020. Los actores de amenazas se están haciendo pasar por una empresa biomédica, Haier Biomedical, y están enviando mensajes de spear-phishing a ejecutivos y organizaciones globales involucradas en el almacenamiento y transporte de vacunas. Haier Biomedical es una empresa miembro legítima de la cadena de suministro de vacunas COVID-19, también es un proveedor calificado para el programa CCEOP.

Las organizaciones involucradas en la cadena de frío juegan un papel crucial en la distribución de las próximas vacunas COVID-19 porque el envío debe mantener la vacuna a temperaturas de menos 70 grados Celsius para la fabricada por Pfizer y menos 20 Celsius para la Moderna.

"La campaña de phishing COVID-19 se extendió por seis países y se dirigió a organizaciones probablemente asociadas con Gavi, el programa Plataforma de optimización de equipos de cadena de frío (CCEOP) de The Vaccine Alliance", se lee en el análisis publicado por IBM.

La campaña de phishing afectó a organizaciones globales con sedes en Alemania, Italia, Corea del Sur, República Checa, Europa y Taiwán. Los atacantes tienen como objetivo recolectar las credenciales de la cuenta para usarlas en más ataques contra las mismas organizaciones.

DHS CISA también emitió una alerta advirtiendo a las organizaciones que trabajan en la cadena de frío de COVID-19 sobre ataques dirigidos llevados a cabo por actores del estado-nación.

Más recientemente, los expertos de la investigación Cyble observaron nuevos correos electrónicos de phishing con el tema haciéndose pasar por un borrador de contrato relacionado con el CCEOP y el Programa de Vacunas. Una vez más, este correo electrónico de phishing se disfraza de comunicación de Haier Biomedical y está dirigido a Kraeber & Co.

Ataques COVID-19

Los atacantes intentan engañar a las víctimas para que abran el archivo adjunto HTML malicioso, luego se les pide a las víctimas que envíen sus credenciales de inicio de sesión para ver contenido PDF.




"Nuestra investigación indica un componente ActiveX malicioso que se ejecuta automáticamente en segundo plano tan pronto como el usuario habilita el control de seguridad del documento". continúa el informe. “Este tipo de 'Targeting de precisión' implica ataques de phishing avanzados que son difíciles de detectar y eliminar por parte de las organizaciones de seguridad".

La función ActiveX en la página HTML permite enviar las credenciales recolectadas al servidor de los atacantes a través de una solicitud POST.

Los actores de la amenaza podrían usar las credenciales para obtener acceso a la infraestructura objetivo e intentar robar información confidencial relacionada con la investigación y entrega de la vacuna COVID-19.

Otro aspecto interesante del equipo de investigación de Cyble es el descubrimiento de múltiples ofertas de vacunas en los mercados de la web oscura.

Si bien las primeras dosis de la vacuna se proporcionan a los ciudadanos del Reino Unido y los EE. UU., Varios proveedores en la darknet ya están ofreciendo a la venta dosis de la vacuna Pfizer / BioNTech.

Es importante recordar que la vacuna Pfizer debe mantenerse a menos -70 grados centígrados, esto significa que no se puede enviar por correo. En el momento de escribir este artículo, no está claro cómo los vendedores administran las dosis y cómo pueden enviarlas.






"Esta campaña de phishing es una clara indicación de que los actores de amenazas están cambiando su enfoque en la compleja red logística asociada con la I + D y la distribución de la cadena de valor de la vacuna". concluye Cyble.

Los expertos de IBM X-Force advirtieron sobre los actores de amenazas que atacan activamente a las organizaciones asociadas con la cadena de frío de la vacuna COVID-19.

“Haciéndose pasar por una empresa biomédica, los ciber actores están enviando correos electrónicos de phishing y spearphishing a ejecutivos y organizaciones globales involucradas en el almacenamiento y transporte de vacunas para recolectar las credenciales de las cuentas. Los correos electrónicos se han presentado como solicitudes de cotización para participar en un programa de vacunas ". lee la alerta publicada por DHSCISA.

"La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) alienta a las organizaciones de Operation Warp Speed ​​(OWS) y las organizaciones involucradas en el almacenamiento y transporte de vacunas a revisar el informe de IBM X-Force Los atacantes están apuntando a la cadena de frío de la vacuna COVID-19".

Los TTP observados en esta campaña y la naturaleza del objetivo sugieren la participación de un actor del estado-nación.

“Si bien actualmente se desconoce la atribución, la orientación precisa y la naturaleza de las organizaciones objetivo específicas apuntan potencialmente a la actividad del estado-nación. Sin un camino claro hacia un retiro de efectivo, es poco probable que los ciberdelincuentes dediquen el tiempo y los recursos necesarios para ejecutar una operación tan calculada con tantos objetivos interconectados y distribuidos globalmente ". continúa el informe publicado por IBM X-Force.

“Del mismo modo, la información sobre el transporte de una vacuna puede presentar un producto del mercado negro candente, sin embargo, la información avanzada sobre la compra y el movimiento de una vacuna que puede afectar la vida y la economía mundial es probablemente una nación de gran valor y alta prioridad -objetivo estatal ".

Estados Unidos incauta los dominios utilizados para los ataques de phishing de la vacuna COVID-19


El Departamento de Justicia de Estados Unidos ha incautado dos nombres de dominio utilizados para hacerse pasar por los sitios web oficiales de las empresas de biotecnología Moderna y Regeneron involucradas en el desarrollo de las vacunas COVID-19.


Si bien se clonaba casi a la perfección el contenido de los sitios reales, el sitio web incautado por el gobierno federal se usó para varios propósitos maliciosos, como ejecutar estafas, infectar a los visitantes con malware y recopilar información confidencial en ataques de phishing.

"Las personas que visiten esos sitios ahora verán un mensaje de que el sitio ha sido incautado por el gobierno federal y serán redirigidos a otro sitio para obtener información adicional", dijo el Departamento de Justicia en un comunicado el viernes.

"Insto a los ciudadanos a permanecer atentos", agregó el fiscal de los Estados Unidos para el distrito de Maryland, Robert K. Hur, después de la incautación del dominio.

"No proporcione información personal ni haga clic en sitios web o enlaces contenidos en correos electrónicos no solicitados. No se convierta en una víctima".

La investigación que rodea a los dos dominios - mordernatx [.] Com y regeneronmedicals [.] Com - fue impulsada por un informe del equipo de ciberseguridad de Moderna y por una investigación en curso sobre sitios web maliciosos.

En ambos casos, los visitantes que querían acceder a las páginas "Contáctenos" en los sitios ahora cerrados fueron redirigidos a un formulario que solicitaba información confidencial, como nombre, empresa / institución, cargo, número de teléfono y dirección de correo electrónico, o pidió comunicarse a través de un número de Voz sobre IP (VOIP).

El dominio mordernatx [.] Com fue registrado a través de una empresa de Kuala Lumpur, Malasia, el 8 de diciembre, y regeneronmedicals [.] Com el 6 de diciembre por una persona de Onitsha Anambra, Nigeria.

"Al apoderarse de estos sitios, el gobierno ha impedido que terceros adquieran los nombres y los utilicen para cometer delitos adicionales, y ha impedido que terceros sigan accediendo a los sitios en su forma actual", agregó el DoJ.

"Estas personas se aprovecharon del miedo durante la pandemia mundial e intentaron robar información personal con fines nefastos", dijo el agente especial de Investigaciones de Seguridad Nacional, John Eisert.

Aproximadamente $ 211 millones perdidos por fraude relacionado con COVID-19

Más de 275,000 estadounidenses han informado pérdidas financieras de más de $ 211 millones luego de las estafas relacionadas con COVID-19 desde el comienzo de este año, según la Comisión Federal de Comercio de EE. UU. (FTC).

Los actores de amenazas también se han dirigido a organizaciones involucradas en la investigación de COVID-19 y en la cadena de frío de la vacuna COVID-19 que implica su almacenamiento y entrega a temperaturas seguras.

Por ejemplo, las organizaciones de investigación de vacunas de Canadá, Reino Unido y EE. UU. Han sido blanco de todo el año por parte del grupo de piratería APT29 patrocinado por el estado ruso con el objetivo final de obtener propiedad intelectual relacionada con el desarrollo y las pruebas de la vacuna.

Actores de amenazas afiliados a la República Popular China (PRC) también han estado involucrados en ataques similares según un anuncio conjunto de servicio público emitido por el FBI y el DHS-CISA.

Por último, pero no menos importante, Microsoft también ha eliminado los dominios utilizados en el delito cibernético relacionado con COVID-19, como la recopilación de información confidencial, que luego se utilizará en los ataques de Business Email Compromise (BEC).


Fuentes:

https://securityaffairs.co/wordpress/112433/hacking/covid-19-attacks-2.html

https://securityaffairs.co/wordpress/111858/apt/covid-19-cold-chain-attacks.html

https://www.bleepingcomputer.com/news/security/us-seizes-domains-used-for-covid-19-vaccine-phishing-attacks/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.