Ikea sta subendo (dalla giornata di venerdì 26 novembre) un attacco informatico in cui gli attori delle minacce sfruttano l’intrusione nelle e-mail interne di risposta alle normali conversazioni di lavoro per prendere di mira i dipendenti con attacchi di phishing mirati.
Ikea ha quindi immediatamente fatto girare un comunicato interno al personale nelle e-mail aziendali per informarli circa l’attacco informatico e anche altre società Ikea e partner commerciali probabilmente compromessi stanno inviando queste stesse e-mail di avvertimento ai propri dipendenti.
Indice degli argomenti
La tecnica di attacco usata contro Ikea
La tecnica di attacco è particolarmente insidiosa ed è nota come Stolen internal reply-chain emails: in pratica, sfruttando vulnerabilità già note nei server di posta Microsoft Exchange delle organizzazioni esposte, gli attacker riescono a comprometterli e a inviare e-mail di phishing ai dipendenti.
La particolarità di questi messaggi malevoli è che sono inviati in risposta a una precedente e-mail inviata dai colleghi: un escamotage che, oltre a indurre i dipendenti ad abbassare la guardia, consente di fatto di bypassare i filtri dei sistemi di controllo in quanto il messaggio di phishing arriva da un indirizzo noto e “certificato” con il quale è già in corso uno scambio di messaggi.
Correggiamo subito le vulnerabilità di Exchange Server
L’allarme su questo genere di attacchi era stato già lanciato nei giorni scorsi dagli specialisti di Trend Micro. Gli esperti hanno infatti riportato in un loro report che i criminali informatici stanno entrando nei server Microsoft Exchange in tutto il mondo per ottenere l’accesso alle loro capacità di messaggistica e inviare e-mail dannose a clienti e dipendenti dell’azienda.
Secondo questo studio, gli operatori stanno attaccando i server Exchange che sono vulnerabili a problemi come ProxyLogon (CVE-2021-26855) e ProxyShell (CVE-2021-34473 e CVE-2021-34523) dei quali abbiamo recentemente parlato in un’altra nostra analisi.
Una volta ottenuto l’accesso al server, gli attacker utilizzano la funzionalità estesa di Powershell per leggere e interagire con il sistema di archiviazione della posta del server e si integrano anche nelle conversazioni esistenti, inviando nuovi messaggi dannosi a tutti i partecipanti (gruppo/dominio aziendale).
Le vulnerabilità ProxyLogon e ProxyShell di Exchange usate per inviare spam: installiamo le patch
Ecco perché l’attacco è particolarmente insidioso
In effetti, un attacco di questo genere è estremamente complesso da gestire per un team IT, ma ancora di più per il singolo dipendente che si ritrova a ricevere e-mail considerate assolutamente fidate, perché provenienti proprio dal collega (con il quale stava parlando o ha avuto scambi di messaggi di recente, peraltro): capiamo bene che diffidare di un messaggio simile sarebbe molto azzardato quasi per chiunque, soprattutto se non fosse stato messo in guardia dall’esistenza di intrusioni nell’infrastruttura.
Se un lavoratore sa cosa sta succedendo nell’infrastruttura aziendale, ci sono alcune probabilità che sia leggermente più accorto del solito nell’aprire allegati, ma se all’oscuro da tutto, difficilmente diffiderebbe.
Addirittura c’è anche il rischio che molti dipendenti riportino “in vita” anche messaggi filtrati in automatico come fraudolenti (qualora i sistema di sicurezza riescano a riconoscerne il contenuto dannoso), proprio perché per loro considerati fidati in base alla discussione che stavano portando avanti con un altro dipendente in un dato periodo.
Per questo motivo, i responsabili della sicurezza del sistema IT di Ikea hanno tempestivamente avvisato tutti i dipendenti dell’attacco in corso, proprio per innalzare il più possibile il livello di guardia.
I dettagli dell’attacco a Ikea
Dalle analisi condotte si sa che l’attacco contro Ikea è stato effettuato utilizzando gli URL forniti nell’e-mail di phishing opportunamente inviata al collega di riferimento.
Parte così un download denominato charts.zip contenente un foglio Excel dannoso. Per leggere correttamente questo allegato, i destinatari devono selezionare i pulsanti “Abilita contenuto” o “Abilita modifica”.
Cliccando su questi pulsanti, vengono caricate le macro dannose che, a loro volta, scaricano file denominati besta.ocx, bestb.ocx e bestc.ocx da un sito remoto che vengono poi salvati nella cartella C:/Datop. Per distribuire il payload del malware, questi file OCX vengono rinominati DLL ed eseguiti con il comando regsvr32.exe.
Sulla base di un rapporto di VirusTotal, sono state individuate campagne che utilizzano questa strategia installando il trojan Qbot (noto anche come QakBot e Quakbot) e forse Emotet. Sia i trojan Qbot che Emotet portano a ulteriori infiltrazioni di rete e, infine, alla distribuzione di ransomware su una rete compromessa.
Cosa impariamo dall’attacco a Ikea
Ci saranno sicuramente aggiornamenti da parte di Ikea sulla questione, in quanto le indagini forensi sono ancora in corso di svolgimento.
Si evidenzia quanto sia preoccupante questo genere di attacchi proprio perché, come abbiamo visto, il fine ultimo è quello di penetrare l’infrastruttura critica, per partire da quel momento in poi con l’attacco vero e proprio a cui segue un eventuale furto di dati o comunque una compromissione degli stessi, al fine di invalidare determinate funzioni aziendali importanti.
Da qui l’importanza di eseguire gli aggiornamenti in maniera puntuale, soprattutto per le infrastrutture considerate critiche per un business.
In effetti, come abbiamo dimostrato anche in questo articolo, se venisse confermato che l’accesso primo viene effettuato sfruttando le vulnerabilità ProxyLogon e ProxyShell, capiamo quanto sia grave avere ancora infrastrutture vulnerabili a questi exploit, corrette con patch della quale si è evidenziato l’importanza ormai parecchio tempo fa.
