IKEA ha subito un attacco informatico da ignoti cybercriminali con l’obiettivo di rubare dati sensibili ed eventualmente installare ransomware. Dopo aver ottenuto l’accesso ai server email della multinazionale svedese, gli autori dell’attacco hanno sfruttato una versione più avanzata di phishing per ingannare i dipendenti.
Attacco reply-chain email
Solitamente gli attacchi di phishing sono facilmente individuabili, leggendo l’indirizzo email del mittente. Un attacco “reply-chain email” viene invece effettuato con indirizzi aziendali legittimi. Il destinatario crede quindi che il messaggio sia autentico, in quanto proveniente dall’interno dell’azienda. IKEA ha avvisato i dipendenti dell’attacco in corso, chiedendo loro di non aprire l’email, identificabile dall’oggetto, ma di contattare immediatamente il dipartimento IT.
L’azienda svedese non ha fornito nessun dettaglio tecnico, ma sembra che l’attacco sia stato eseguito sfruttando le vulnerabilità ProxyLogin e ProxyShell di Microsoft Exchange. Dopo aver ottenuto l’accesso ai server, i cybercriminali hanno inviato email ai dipendenti contenenti link ad archivi ZIP, all’interno dei quali c’è un foglio Excel.
Il software avvisa l’utente attraverso la visualizzazione protetta, ma nell’email viene spiegato come attivare la modifica del foglio Excel. Ciò permette di eseguire le macro che scaricano i malware da un server remoto. Il metodo viene solitamente sfruttato per installare i trojan QBot e Emotet.
IKEA non ha confermato se i server Exchange sono stati compromessi. Microsoft ha rilasciato diverse patch per risolvere le suddette vulnerabilità, quindi sarebbe piuttosto grave se il dipartimento IT dell’azienda svedese avesse trascurato i numerosi avvisi di sicurezza.