¿Qué tienen en común el robo de identidad, WhatsApp y un documento de Microsoft Word malintencionado? Para responder, permítanme rebobinar un poco.
Han pasado varios años desde el inicio de la pandemia de COVID-19, y las empresas farmacéuticas siguen enfrentándose a una gran presión para proteger sus datos, ya que la sanidad sigue siendo un objetivo prioritario de la ciberdelincuencia organizada. El cambio generalizado hacia el trabajo remoto e híbrido ha provocado el crecimiento continuo de la adopción de cloud en todos los sectores, especialmente para las organizaciones sanitarias, donde se ha producido un aumento de la telemedicina y de los nuevos requisitos del trabajo remoto.
Dado que todas las miradas siguen puestas en la sanidad, hemos visto cómo los ciberatacantes se han vuelto aún más creativos a la hora de infiltrarse en las organizaciones bajo el radar.
Enter: an attacker posing as a recruiter leveraging a fraudulent LinkedIn profile based off an actual person with an extensive background in recruiting. This threat actor contacts people with the lure of a lucrative job offer, establishing rapport with their target via WhatsApp over several days. Finally, the target receives an infected Word document that, upon opening, would provide the attacker with access to an organization’s system. This social engineering allowed hackers to target and compromise company staff, just like the unsuspecting Employee Zero at Sanofi, a multinational pharmaceutical company. This is where our story starts.
Tuve el privilegio de sentarme con Jean-Yves Poichotte, Head of Grupo Head of Ciberseguridad deSanofi, y Richard Webster, Head of Centro de Operaciones de Ciberseguridad deSanofi, para hablar de cómo se desarrolló este ataque y por qué la asociación con Vectra fue fundamental para evitar una filtración de datos.
"Tenemos muchos proveedores", afirma Jean-Yves. "Raros son los que dedican un cierto nivel de colaboración. Vectra y su equipo aportan una mentalidad de colaboración".
Añadir valor con Vectra
What happens when accounts are compromised, and an attacker infiltrates your organization through completely legitimate tools and processes? The malicious behavior of the attacker is hidden amongst the “normal” noise and doesn’t stand out with endpoint scans. In cases like this, endpoint detection and response (EDR) solutions have already been infected and can no longer combat the threat. This is precisely the problem that Sanofi solved with Vectra.
Cubrimos una carencia específica en la trayectoria de seguridad de Sanofi, proporcionándoles visibilidad y cobertura completas entre sus implementaciones empresariales y cloud , incluida su infraestructura de AWS. Durante las pruebas del equipo rojo, Sanofi necesitaba una solución que detectara ataques que eludieran las herramientas existentes, como EDR, y que fueran imposibles de encontrar en los sistemas de gestión de eventos e información de seguridad (SIEM).
La plataforma Vectra aplica algoritmos de aprendizaje automático derivados de la IA para detectar, priorizar y responder automáticamente a ciberataques en curso. Vectra AI proporciona visibilidad de alta fidelidad de toda la red y la cloud, así como de todas las aplicaciones, sistemas operativos y dispositivos, incluidos los de tipo "traiga su propio dispositivo" (BYOD) y los del Internet de las Cosas (IoT).
This is why extending detection across every environment, including the cloud, was a core part of Sanofi’s strategy. As part of that effort, Sanofi leveraged Vectra AI to analyze behavior in their AWS environment — a focus that was reaffirmed with a renewed commitment to AWS coverage in 2024.
La visibilidad de AWS resultó esencial. Permitió a Sanofi detectar comportamientos que otras herramientas habían pasado por alto y responder en tiempo real antes de que el ataque pudiera intensificarse. Al sacar a la luz señales procedentes directamente de la infraestructura de AWS, el equipo pudo investigar actividades que habrían pasado desapercibidas solo con las herramientas de punto final. Este nivel de información fue fundamental para rastrear los movimientos del atacante y tomar medidas decisivas.
"Somos clientes de AWS y Vectra desde hace mucho tiempo. Confiamos en Vectra como un componente importante de nuestro kit de herramientas de detección y respuesta", explicó Jean-Yves. "Aprovechado para monitorizar nuestra red empresarial y nuestro plano de gestión de cloud , la capacidad de Vectra para detectar amenazas y su profundo pozo de datos para análisis forenses e investigación aportan contexto y lo convierten en una potente capacidad. Aporta una visibilidad crítica de los comportamientos de ataque a través de la red, la identidad y la cloud. En concreto, hemos visto, en pruebas agresivas de equipo rojo, potentes capacidades de detección cloud . Y la página de investigación instantánea muestra todas las acciones que ha realizado una cuenta en nuestro inquilino, una función de investigación eficaz. En incidentes reales y complejos, aporta un contexto enorme".
La capacidad de Vectra para ofrecer este tipo de cobertura, más la adición de los datos de AWS VPC Traffic Mirror, hace que sea casi imposible que los atacantes puedan eludirla. La priorización de las amenazas de mayor riesgo con un alto grado de certeza permite un enfoque seguro para automatizar la vigilancia de amenazas. Según Richard, la tecnología Vectra es lo que permitió a su organización detectar y detener el ataque.
NDR aumenta el SOC
A pesar de que la arquitectura de seguridad de Sanofi está diseñada para gestionar operaciones complejas, este ataque concreto consiguió eludir las herramientas existentes. Richard reveló: "Siempre le digo a mi equipo que tenemos que construir nuevas redes de detección todo el tiempo. Estamos añadiendo capa tras capa de redes de detección, pero sólo dos de ellas funcionaron para este ataque". ¿Las dos en cuestión? Endpoint detection and response (EDR) y NDR.
Cuando pregunté a Jean-Yves y a Richard si debían elegir entre EDR y NDR, Richard dijo que ambos son fundamentales para mantener un entorno seguro. "Para mí, no se trata de uno u otro: necesito los dos. Quiero tanta visibilidad como sea posible, y quiero hacer análisis forenses profundos con EDR yNDR".Compartió cómo los adversarios podrían comprometer el dispositivo de punto final y desactivar la solución EDR, mientras que los atacantes no pueden hacer lo mismo con NDR. "Es más difícil derrotar a NDR,"dijo.
Mientras que EDR es importante para los puntos finales, NDR es fundamental para la red. Sanofi utilizó Detect y Recall conjuntamente para detectar amenazas y rastrear la progresión del ataque. Mientras que Detect prestó asistencia en tiempo real, Recall ayudó al equipo de Sanofi a realizar análisis forenses a posteriori. Richard señaló: "En este ataque concreto, pudimos entrar en Recall y ver línea por línea cuál era exactamente la enumeración de recursos compartidos.Podíamosver los archivos abiertos, los archivos leídos, los nombres de los archivos y el recuento de bytes".Una visibilidad tan completa de la progresión del ataque sirvió para educar e informar al equipo a la hora de crear marcos de detección para evitar tácticas similares en el futuro.
Sanofi y Vectra: Juntos mejor
Jean-Yves, Richard y yo terminamos reforzando la solidez de la asociación entre nuestras organizaciones. Este ataque ha demostrado que cuando un atacante consigue robar credenciales y eludir las soluciones tradicionales para puntos finales, NDR salva eficazmente la brecha.
Frustrar este ataque también ejemplifica los beneficios de la colaboración derivados de la cooperación entusiasta entre nuestros equipos. Vectra ofrece la plataforma, mientras que Sanofi aporta sus casos de uso únicos, lo que nos permite innovar juntos, resolver problemas e intercambiar conocimientos técnicos.
A medida que Sanofi continúa desarrollando sus operaciones de seguridad y expandiendo su presencia cloud , Jean-Yves y Richard compartieron que esperan una asociación continua con nosotros en Vectra. Jean-Yves comentó: "Vectra aporta su innovación y su profundo valor técnico. Mi equipo en Sanofi aporta la retroalimentación de la solución. Y la combinación es el camino del progreso y la madurez".
Terminamos nuestra conversación con una excelente sesión de preguntas y respuestas del público. Aunque no pudimos responder a todas en directo, las hemos recogido todas en este documento, con los comentarios inéditos de Jean-Yves y Richard.
Obtenga toda la información sobre los métodos utilizados por los ciberdelincuentes para llevar a cabo el ataque -aprovechando LinkedIn, WhatsApp y Microsoft Word- y cómo Sanofi utilizó Detect y Recall de Vectra para detener el ataque en seco.