Bleeping Computer riporta notizia, grazie ad alcune fonti interne, di un cyber attacco che ha colpito i sistemi email della multinazionale IKEA. In dettaglio gli impiegati sarebbero sotto un diluvio di email di phishing interno che usa lo schema reply-chain email.
Reply-chain email: info sullo schema di attacco
Per prima cosa è utile delineare il tipo di attacco che ha colpito Ikea. Per reply-chain email si intende un attacco in cui un attaccante riesce a rubare email legittime aziendali e inizia a rispondere a queste con un link contenente un allegato dannoso che, a sua volta, installa un malware sul dispositivo del ricevente. E' un tipo di attacco molto efficace perché le email sono solitamente inviate da account e server compromessi interni all'azienda: i destinatari quindi si fidano dei contenuti ricevuti, provenienti da fonti in teoria legittime e c'è un'alta probabilità che queste email siano aperte e i contenuti visualizzati.
Ikea: l'attacco è ancora in corso
Questa è la tipologia di attacco subita da Ikea e che il colosso sta ancora fronteggiando. Bleeping Computer ha avuto accesso ad alcune email con le quali IKEA avvisa i dipendenti dell'attacco in corso, della tipologia di attacco (risposte a scambi email precedenti) e del fatto che sono coinvolti anche fornitori e partner.
 |
| Fonte: https://www.bleepingcomputer.com |
"Questo significa l'attacco può arrivare via email da parte di qualcuno con cui lavori, da qualsiasi azienda esterna e come risposto ad una conversazione già in corso. (Questo attacco) è molto difficile da individuare, motivo per cui chiediamo a tutti estrema cautela" si legge.
Reply chain email: il falso documento Office
I team IT di IKEA hanno avvisato i dipendenti che lo schema di phishing prevede l'uso di link di 7 caratteri alla fine e hanno diffuso una email esempio |
| Fonte: https://www.bleepingcomputer.com |
I dipendenti hanno il divieto di aprire email, soprattutto se contenenti allegati, anche se provenienti da account conosciuti e con i quali già c'erano stati scambi precedenti. E' impossibile infatti sapere, in questo tipo di attacchi, chi stia davvero utilizzando un certo account email interno. Infatti, uno dei primi problemi che i team IT hanno dovuto affrontare, è stato quello dei dipendenti che hanno recuperato queste email dalla cartella dello spam: per molti di questi infatti, quelle email sono totalmente affidabili e provenienti magari da un collega o un fornitore col quale magari gli scambi sono all'ordine del giorno. Così sono stati centinaia i dipendenti che hanno tolto dalla quarantena le email cadute in trappola del filtro antispam aziendale e l'unica soluzione possibile è stata quella di impedire di sbloccare le email segnalate per spam.
Sotto il documento Office che è stato diffuso per l'attacco:
 |
| Fonte: https://www.bleepingcomputer.com |
Come si vede, è il più classico schema di attacco: il documento mostra un errore di visualizzazione / una protezione al contenuto del documento e richiede l'abilitazione delle macro. L'abilitazione della macro comporta il download di un file .OCX da un sito remoto. Questi file OCX altro non sono che DLL rinominate: eseguite usando regsvr32.exe installano il malware.
Qualche info più tecnica sull'attacco: le falle sfruttate
Intanto sono trapelate le prime informazioni più tecniche riguardo l'attacco in corso e sono molto interessanti. Le indagini interne hanno mostrato come gli attaccanti abbiano usato 3 vulnerabilità conosciutissime e già patchate delle quali abbiamo spesso parlato ovvero:
- la CVE-2021-26855 detta ProxyLogon;
- la CVE-2021-34473 e CVE-2021-34523 dette ProxyShell.
E' tramite queste vulnerabilità che gli attaccanti ottengono l'accesso ai server Microsoft Exchange e, quindi, la possibilità di attivare l'attacco Reply-chain.
Per approfondire > Le vulnerabilità di Microsoft Exchange Server (risolte) sfruttate per distribuire ransomware: ancora poca attenzione alle patch
Per approfondire > Server Microsoft Exchange sotto attacco: oltre a LockFile, anche il ransomware Conti sta usando ProxyShell
Qualche info più tecnica sull'attacco: quali malware sono stati diffusi?
Su questo ad ora non ci sono conferme. Gli esperti di Bleeping Computer, però, fanno un pronostico alla luce della tipologia di attacco e dei vettori usati. Campagne simili infatti sono stati usati per diffondere 2 tipi di malware nei tempi recenti: il trojan Qbot e il famigerato Emotet, che, come riportato pochi giorni fa, sta rinascendo dalle proprie ceneri.
Non a caso i team IT di IKEA stanno trattando l'attacco con un cyber incidente di livello critico che può condurre ad attacchi dagli effetti ancora più gravi.
Nessun commento:
Posta un commento