La sanità nel mirino dei cyber criminali: Websense ThreatSeeker Intelligence Cloud ha identificato una campagna di phishing che colpisce il settore sanitario, in particolare gli ospedali, rubando le credenziali di Outlook.
Ottenere l’accesso alle credenziali aziendali di Outlook permette agli hacker di avere un punto di appoggio all’interno dell’organizzazione della vittima, così da poter cercare altri obiettivi ad alto valore. Diventa quindi possibile per i criminali informatici inviare email che sembrano legittime per ottenere informazioni aggiuntive e accedere all’infrastruttura strategica o ai dati, oltre che sfruttare la buona reputazione degli account compromessi per colpire gli altri contatti all’interno dell’azienda.
Un aiuto per proteggersi da queste minacce arriva da ACE, Advanced Classification Engine, di WebSense, azienda americana che si occupa di sicurezza online.
Ma come funzionano questo tipo di attacchi?
I cyber criminali inviano agli utenti una email esca con l’oggetto “Your Mailbox account closure” e con l’invito a cliccare su un link.
La campagna è altamente mirata. La telemetria ThreatSeeker mostra che Websense Cloud Email Security ha bloccato meno di 200 messaggi di questo tipo, tutti destinati a un’organizzazione sanitaria degli Stati Uniti, tra le ore 6:19:34 AM PDT e le 7:13:10 AM PDT del 12 settembre.
Rivedendo il percorso email, sembra che sia stato usato un account compromesso per inviare questa campagna, fattore che sembra suggerire che gli attori che vi sono dietro cercano letteralmente di portarla avanti passando da una società infetta all’altra e traendo vantaggio dalla reputazione delle aziende colpite. Da notare che l’account compromesso è anche un provider healthcare, un fattore che lo porta ad avere una buona reputazione all’interno dei sistemi di protezione email della vittima e che contribuisce a superare con successo i sistemi di sicurezza basati sulla reputazione.
Se l’utente segue il link verrà reindirizzato a webauthlineoutlweb.url.ph, dove si presentano con una pagina di login Outlook dall’aspetto legittimo, che viene usata per rubare le credenziali.
Un’occhiata alle 5 principali minacce ospitate nei sottodomini di “URL.PH” suggerisce che negli ultimi mesi sta diventando sempre più diffusa. Esaminando le minacce provenienti dai siti Web con il dominio top level (TDL) “URL.PH”, possiamo vedere un set di differenti minacce, tra cui Zeus e Citadel e anche altri tipi:
