IKEA golpeado por un ciberataque en cadena de respuesta por correo electrónico - Calendae | Informática, Electrónica, CMS, Ciberseguridad

IKEA golpeado por un ciberataque en cadena de respuesta por correo electrónico

Hola de nuevo. Soy Eduardo Arroyo y esta vez hablaremos sobre IKEA golpeado por un ciberataque en cadena de respuesta por correo electrónico

IKEA golpeado por un ciberataque en cadena de respuesta por correo electrónico

IKEA, el rey de los muebles en una caja plana, advirtió a los empleados el viernes que un ataque cibernético en curso estaba utilizando correos electrónicos internos para enviar fallas a enlaces maliciosos en hilos de correo electrónico activos.

A partir del viernes, al igual que en el Black Friday de compras de esteroides, el titán minorista de IKEA estaba luchando con un ataque de phishing de correo electrónico en cadena de respuesta en curso en el que los atacantes enviaban respuestas de malspam a hilos de correo electrónico.

BleepComputadora Eché un vistazo a los correos electrónicos internos, uno de los cuales se replica a continuación, alertando a los empleados sobre el ataque, que tenía como objetivo los buzones de correo internos de la empresa. Los correos electrónicos de suplantación de identidad provenían de direcciones de correo electrónico internas de IKEA, así como de sistemas comprometidos de los proveedores y socios de la empresa.

“Hay un ciberataque en curso dirigido a los buzones de correo de Inter IKEA. Otras organizaciones, proveedores y socios comerciales de IKEA se ven comprometidos por el mismo ataque y están difundiendo correos electrónicos maliciosos a la gente de Inter IKEA.

“Esto significa que el ataque puede provenir por correo electrónico de alguien con quien trabaja, de cualquier organización externa y como respuesta a una conversación en curso. Por lo tanto, es difícil de detectar, por lo que les pedimos que sean más cautelosos ”. –Correo electrónico interno de IKEA a los empleados.

IKEA no respondió de inmediato a la solicitud de comentarios de Threatpost. Por lo tanto, no está claro si el ataque se prolongó durante todo el fin de semana y hasta el lunes.

IKEA envió a sus empleados un ejemplo de correo electrónico de phishing, que se muestra a continuación, que se recibió en Microsoft Outlook. Según los informes, los equipos de TI de la compañía han señalado que los correos electrónicos de la cadena de respuesta contienen enlaces que terminan en siete dígitos. Se advirtió a los empleados que no abrieran los correos electrónicos, sin importar quién los envió, y se les pidió que informaran de inmediato los correos electrónicos de phishing al departamento de TI si los recibían.

Ejemplo de correo electrónico de phishing enviado a empleados de IKEA. Fuente: BleepingComputer.

Exchange Server ataca a Déjà Vu?

El ataque suena familiar: a principios de este mes, Trend Micro lanzó un relación sobre los atacantes que estaban haciendo lo mismo con las respuestas a los hilos de correo electrónico secuestrados. Los atacantes mordían las vulnerabilidades de ProxyLogon y ProxyShell en Microsoft Exchange Server para secuestrar cadenas de correo electrónico, enviando respuestas incorrectas a hilos de correo electrónico en curso y aumentando así la posibilidad de que sus objetivos hicieran clic en enlaces maliciosos que conducen a una infección de malware.

Como han señalado los expertos en seguridad, secuestrar las respuestas de correo electrónico para campañas de spam es una buena manera de escapar de las sospechas de spam de las personas y evitar que las puertas de enlace de correo electrónico lo marquen o pongan en cuarentena.

Lo que aún estaba en debate en el momento del informe de Trend Micro: si la ofensiva estaba entregando SquirrelWaffle, el nuevo cargador de correo electrónico que apareció en septiembre, o si SquirrelWaffle era solo una pieza de malware que las campañas estaban depurando.

Documento malicioso de Microsoft Excel. Fuente: Trend Micro.

Investigadores de Cisco Talos primero Tengo viento de las campañas de malspam de SquirrelWaffle que comenzaron a mediados de septiembre, cuando vieron documentos explosivos de Microsoft Office que entregaban malware Qakbot y la herramienta de prueba de penetración Cobalt Strike, dos de las amenazas más comunes que se observan regularmente contra organizaciones de todo el mundo. Los sistemas de documentos de Office infectados con SquirrelWaffle al principio de la cadena de infección.

Las campañas de SquirrelWaffle son conocidas por utilizar hilos de correo electrónico robados para aumentar las posibilidades de que una víctima haga clic en enlaces maliciosos. Estos enlaces manipulados están ocultos en una respuesta de correo electrónico, similar a cómo funciona el virulento malware Emotet, que generalmente se propaga a través de correos electrónicos o mensajes de texto maliciosos.

El equipo de respuesta a incidentes de Trend Micro había decidido investigar lo que sus investigadores creían que eran intrusiones relacionadas con SquirrelWaffle en el Medio Oriente para ver si los ataques involucraban las notorias vulnerabilidades del servidor ProxyLogon y ProxyShell Exchange.

Su conclusión: Sí, las intrusiones estaban vinculadas a ataques de ProxyLogon y ProxyShell en servidores Exchange sin parches, como lo demuestran los registros de IIS de tres servidores comprometidos, cada uno comprometido en una intrusión separada, todos explotados a través de las vulnerabilidades de ProxyShell y ProxyLogon. CVE-2021-26855, CVE-2021-34473 Y CVE-2021-34523.

En la campaña de Medio Oriente analizada por Trend Micro, los correos electrónicos de phishing contenían un documento malicioso de Microsoft Excel que hacía lo que hacen los documentos maliciosos de Excel: requería que los objetivos eligieran «Habilitar contenido» para ver un archivo protegido, iniciando así la cadena de infección.

Dado que IKEA no ha respondido a las consultas de los medios, es imposible decir con certeza si sufrió o no un ataque similar. Sin embargo, hay aún más similitudes entre el ataque de IKEA y el ataque de Oriente Medio que Trend Micro analizó a principios de este mes. En particular, como informó BleepingComputer, el ataque de correo electrónico de respuesta de IKEA también está distribuyendo un documento de Excel malicioso que ordena de manera similar a los destinatarios «Habilitar contenido» o «Habilitar edición» para verlo.

Trend Micro compartió una captura de pantalla, que se muestra a continuación, de cómo se ve el documento de Excel malicioso en la campaña de Medio Oriente:

Documento malicioso de Microsoft Excel. Fuente: Trend Micro.

No puedes confiar en los correos electrónicos de «alguien que conoces»

Es fácil confundir las respuestas maliciosas con las de remitentes legítimos, ya que aparecen en los hilos de correo electrónico en curso. Saryu Nayyar, CEO de Gurucul, señaló que los empleados de IKEA están aprendiendo por las malas que las respuestas en hilos no son necesariamente legítimas e incluso pueden ser dañinas.

«Si recibe un correo electrónico de alguien que conoce, o que parece estar manteniendo una conversación en curso, probablemente se sienta inclinado a verlo como legítimo», le dijo a Threatpost el lunes por correo electrónico. “Sin embargo, los empleados de IKEA están encontrando lo contrario. Son atacados por correos electrónicos de phishing que a menudo provienen supuestamente de fuentes conocidas y pueden contener troyanos Emotet o Qbot para infectar aún más su sistema y red.

Este ataque es «particularmente insidioso», comentó, ya que «aparentemente continúa un patrón de uso normal».

No más ignorar la cuarentena

Con estos patrones de «uso normal» que adormecen a las víctimas potenciales para que bajen la guardia, aumenta la posibilidad de que los empleados asuman que los filtros de correo electrónico eran incorrectos si pusieron los mensajes en cuarentena.

Por lo tanto, el correo electrónico interno de IKEA informó a los empleados que su departamento de TI estaba deshabilitando la capacidad de liberar correos electrónicos de la cuarentena. Tal como está, sus filtros de correo electrónico identificaron al menos algunos de los correos electrónicos maliciosos:

“Nuestros filtros de correo electrónico pueden identificar algunos de los correos electrónicos maliciosos y ponerlos en cuarentena. Debido a esto, el correo electrónico puede ser una respuesta a una conversación en curso, es fácil pensar que el filtro de correo electrónico cometió un error y liberó el correo electrónico de la cuarentena. Por lo tanto, hasta nuevo aviso, estamos inhabilitando la capacidad de todos para liberar correos electrónicos de la cuarentena ”. –Correo electrónico interno de IKEA a los empleados.

¿Entrenar es una pérdida de tiempo?

Con ataques tan furtivos, ¿es inútil entrenar? Algunos dicen que sí, otros dicen que no.

Erich Kron, defensor de la conciencia de seguridad en KnowBe4, está a favor del entrenamiento, especialmente considerando lo dañinos que pueden ser estos ataques.

«Las cuentas de correo electrónico comprometidas, especialmente aquellas en sistemas de correo electrónico internos con acceso a las listas de contactos de una organización, pueden ser muy dañinas, ya que los correos electrónicos internos son confiables y carecen de los signos obvios de phishing que estamos acostumbrados a buscar», dijo a Threatpost en un correo electrónico el lunes. «Debido a que proviene de una cuenta legítima y debido a que los ciberdelincuentes a menudo se infiltran en conversaciones legítimas previas, estas pueden ser muy difíciles de detectar, lo que las hace muy efectivas.

«Este tipo de ataques, especialmente si los atacantes pueden acceder a la cuenta de correo electrónico de un ejecutivo, pueden usarse para difundir ransomware y otro malware o para solicitar transferencias bancarias a cuentas bancarias propiedad de ciberdelincuentes, entre otras cosas», dijo Kron.

Sugirió capacitar a los empleados para que no confíen ciegamente en los correos electrónicos de una fuente interna, sino que coloquen el cursor sobre los enlaces y consideren el contexto del mensaje. «Si no tiene sentido o parece inusual en absoluto, es mucho mejor levantar el teléfono y reconocer rápidamente el mensaje con el remitente, en lugar de arriesgarse a una infección de malware o ser víctima de una estafa», dijo.

Por el contrario, Christian Espinosa, director general de Centinela de Cerberus, es un voto firme a favor del enfoque de «la formación es inútil».

«Debería estar claro a estas alturas que el entrenamiento en concientización y phishing es ineficaz», dijo a Threatpost por correo electrónico el lunes. «Es hora de que aceptemos que los ‘usuarios’ caen continuamente en estafas de phishing, a pesar de la cantidad de ‘capacitación en concientización’ que les sometemos».

Pero, ¿qué opciones tenemos? Espinosa sugirió que los manuales de defensa de la ciberseguridad «deberían centrarse en elementos de reducción de riesgos, como la inclusión de aplicaciones en listas blancas, que detendrían este ataque, ya que el ‘malware’ no estaría autorizado».

Señaló otras industrias que han compensado los factores humanos, como el transporte. “A pesar de las campañas de concientización, la industria del transporte se dio cuenta de que mucha gente no ‘miraba’ antes de cruzar el tráfico en el semáforo en verde”, dijo Espinosa. “En lugar de culpar a los conductores, la industria ha cambiado los semáforos. Las luces más nuevas evitan que los conductores se incorporen al tráfico a menos que haya una flecha verde «.

Este cambio ha salvado miles de vidas, dijo, y ha llegado el momento de que la industria de la ciberseguridad «se haga cargo».

Existe un mar de datos no estructurados en Internet relacionados con las últimas amenazas a la seguridad. REGÍSTRESE HOY para aprender los conceptos clave del procesamiento del lenguaje natural (NLP) y cómo usarlo para navegar por el océano de datos y agregar contexto a las amenazas de ciberseguridad (¡sin ser un experto!). Esta Ayuntamiento de Threatpost en VIVO e interactivo, patrocinado por Rapid 7, contará con los investigadores de seguridad Erick Galinkin de Rapid7 e Izzy Lazerson de IntSights (una empresa de Rapid7), así como la reportera de Threatpost y presentadora de seminarios web Becky Bracken.

.

Puedes compartir en tu Facebook para que tus amigos lo disfruten

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *