Más de 130 cuentas de correo electrónico del NHS fueron secuestradas en una operación de phishing de recopilación de credenciales dirigida a usuarios de Microsoft, aunque se desconoce el verdadero alcance del ataque.
Durante la campaña de phishing, que comenzó en octubre de 2021 y se intensificó drásticamente en marzo de 2022, la plataforma de seguridad basada en la nube Inky detectó 1157 correos electrónicos de phishing que se originaron en NHSMail, que se migró de una instalación local a Microsoft Exchange Online en febrero de 2021.
Todos los correos electrónicos de phishing pasaron la autenticación de correo electrónico para nhs.net y se enviaron desde dos direcciones IP utilizadas por el NHS, lo que confirma que las dos direcciones eran retransmisiones dentro del sistema de correo utilizado para una gran cantidad de cuentas.
La mayoría de los correos electrónicos eran notificaciones de nuevos documentos falsos con enlaces maliciosos a sitios de recopilación de credenciales que buscaban específicamente información de los usuarios de Microsoft 365.
Inky señaló que si bien los correos electrónicos de phishing provenían de cuentas de correo electrónico pertenecientes a 139 trabajadores del NHS, el verdadero alcance del ataque puede haber sido mucho mayor, ya que sus analistas de datos solo detectaron los intentos de phishing en sus propios clientes.
Agregó que a pesar de las 139 cuentas comprometidas, que «representan solo unas pocas diezmilésimas de un porcentaje del total de cuentas», nhs.net atiende a decenas de millones de usuarios de correo electrónico únicos y proporciona infraestructura para alrededor de 27,000 organizaciones, lo que significa que ese pequeño número significa que todavía es de esperar que se creen algunas cuentas nuevas comprometidas todos los días.
“Quizás este es un momento para introducir la idea de que el phishing puede ser como una fuga en el barco. No importa que el agujero sea pequeño, eventualmente hundirá el barco», se lee en una publicación de blog.
“Incluso si solo unos pocos correos electrónicos malos llegan con una carga suficientemente maliciosa, un solo ataque exitoso puede cambiar la vida. El NHS ha tenido suerte hasta ahora. La recolección de credenciales en sí misma es una patata pequeña. Pero, por supuesto, estas credenciales pueden reciclarse en ataques posteriores con consecuencias más peligrosas”.
Inky informó sus hallazgos iniciales al NHS el 13 de abril, que tomó medidas inmediatas y resultó en una reducción significativa en la cantidad de ataques al día siguiente. El 19 de abril, Inky dijo que ya no recibía informes de phishing del dominio del NHS.
Entre Inky y el NHS, se determinó que la violación no fue un servidor de correo comprometido sino el resultado de cuentas secuestradas individualmente.
“Tenemos procesos para monitorear e identificar continuamente estos riesgos. Los estamos abordando en colaboración con nuestros socios que apoyan y brindan el servicio nacional de correo del NHS», dijo el NHS en respuesta a los hallazgos de Inky.
«Las organizaciones del NHS que ejecutan sus propios sistemas de correo electrónico tienen procesos y medidas de seguridad similares para identificar y coordinar sus respuestas y obtener el apoyo de NHS Digital cuando sea necesario».
Además de recopilar credenciales y secuestrar cuentas, los atacantes también usaron logotipos y marcas comerciales para hacerse pasar por marcas conocidas (incluidas Microsoft y Adobe) para que los correos electrónicos parecieran legítimos. Todos los correos electrónicos también tenían el pie de página del correo electrónico del NHS en la parte inferior.
Con respecto a las mitigaciones, Inky dijo que los usuarios siempre deben verificar cuidadosamente la dirección de correo electrónico del remitente y verificar todos los enlaces al pasar el mouse sobre ellos.
“La mayoría de los correos electrónicos de esta campaña pretendían ser de Adobe o Microsoft, pero nhs[.]net no es un dominio de Adobe o Microsoft. Los enlaces en él tampoco pertenecían a estas organizaciones”, dijo.
«Los destinatarios también deben tener cuidado con las notificaciones de nuevos documentos desconocidos y negarse a responder o hacer clic en los enlaces de un correo electrónico de un remitente que nunca ha estado en contacto con ellos».
NHS Digital relanzó su campaña de concientización sobre seguridad cibernética en octubre de 2021 para ayudar a los trabajadores de la atención médica a obtener más información sobre las amenazas de seguridad actuales y reducir su riesgo general de exposición.
El kit de herramientas en línea se puede descargar gratis para ayudar a las organizaciones de atención médica a aprender más sobre las prácticas de seguridad de sentido común y el impacto que una buena higiene de seguridad puede tener en la seguridad del paciente. Incluye orientación sobre cómo establecer contraseñas seguras, bloquear dispositivos cuando no están en uso y detectar y mitigar el phishing, las estafas por correo electrónico y los ataques de ingeniería social, entre otras cosas.
En los últimos años, varias solicitudes de libertad de información de terceros han demostrado que el NHS ha visto una reducción en la cantidad de correos electrónicos de phishing que ha recibido, menos incidentes de ransomware y una mejora en su personal de seguridad. A fines de 2020, empleaba el doble de expertos en seguridad interna que en 2018.
