Il colosso svedese specializzato nella vendita di mobili e complementi d’arredo per la casa ha subito un attacco informatico ancora in corso che ha preso di mira i sistemi di posta elettronica. IKEA starebbe combattendo questo attacco in cui i cybercriminali hanno preso di mira i dipendenti in attacchi di phishing utilizzando indirizzi e-mail interni della catena di risposta rubate nel tentativo di installare malware.
Tramite una e-mail interna inviata ai dipendenti e visualizzata da BleepingComputer, IKEA ha avvisato il personale dipendente di un attacco informatico di phishing a catena di risposta in corso che prende di mira le cassette postali interne. Queste e-mail vengono inviate anche da altre organizzazioni IKEA e partner commerciali compromessi.
“C’è un attacco informatico in corso che prende di mira le cassette postali di Inter IKEA. Altre organizzazioni, fornitori e partner commerciali IKEA sono stati compromessi dallo stesso attacco e stanno diffondendo ulteriormente e-mail dannose a persone di Inter IKEA”.
“Ciò significa che l’attacco può arrivare via e-mail da qualcuno con cui lavori, da qualsiasi organizzazione esterna, e come risposta a conversazioni già in corso. È quindi difficile da rilevare, per cui ti chiediamo di essere più cauto”.
I team IT di IKEA hanno avvertito i dipendenti che le e-mail della catena di risposta contengono collegamenti con sette cifre alla fine e hanno condiviso un’e-mail di esempio e avvisato di non aprire le e-mail, indipendentemente da chi le ha inviate, e di segnalarle immediatamente al reparto IT.
Ai destinatari viene anche detto di comunicare al mittente delle e-mail tramite la chat di Microsoft Teams di segnalare le e-mail.
Dagli URL condivisi nell’e-mail di phishing, BleepingComputer è stato in grado di identificare l’attacco che ha preso di mira IKEA e il metodo utilizzato il quale sarebbe quello impiegato da campagne che installano il trojan Qbot (noto anche come QakBot e Quakbot) e possibilmente Emotet.
A causa della gravità di queste infezioni e della probabile compromissione dei loro server Microsoft Exchange, IKEA sta trattando questo incidente di sicurezza come un attacco.
“I nostri filtri e-mail possono identificare alcune delle e-mail dannose e metterle in quarantena. A causa di ciò l’e-mail potrebbe essere una risposta a una conversazione in corso, è facile pensare che il filtro e-mail abbia commesso un errore e abbia rilasciato l’e-mail dalla quarantena. Siamo quindi fino a nuovo avviso disabilitando la possibilità per tutti di rilasciare e-mail dalla quarantena”, ha comunicato IKEA ai dipendenti.
Sebbene IKEA non abbia risposto alle e-mail di BleepingComputer sull’attacco e non abbia rivelato ai dipendenti se i server interni sono stati compromessi, sembra che stiano soffrendo di un attacco simile.
https://www.bleepingcomputer.com/news/security/ikea-email-systems-hit-by-ongoing-cyberattack/