Ikea kämpft gegen Cyberattacke
Ikea kämpft gegen einen Cyberangriff. Angreifer haben es auf die interne E-Mail-Kommunikation abgesehen. Die Phishing-Mails werden als Antwortketten getarnt.
Das Einrichtungshaus Ikea kämpft gegen einen anhaltenden Cyberangriff. Die Angreifer haben es mit den Attacken auf die interne E-Mail Kommunikation abgesehen. Mithilfe kompromittierter E-Mailkonten werden sogenannte "Reply-Chain-Angriffe" durchgeführt, wie "Bleepingcomputer" berichtet.
"Es gibt eine laufende Cyberattacke, die auf Inter Ikea Mailboxen abzielt. Andere Ikea-Organisationen, Lieferanten und Geschäftspartner sind von demselben Angriff betroffen und verbreiten bösartige E-Mails an Personen bei Inter Ikea", heisse es laut Bericht in einer internen E-Mail an Ikea-Mitarbeitende.
Schadsoftware als Excel-Datei getarnt
Die Angreifer würden sich beispielsweise als Arbeitskollegen tarnen und auf laufende Konversationen antworten. Dadurch hätten es die Betroffenen besonders schwer, die E-Mails als Phishing-Angriff zu erkennen. In den betroffenen Nachrichten befinden sich laut "Bleepingcomuter" Hyperlinks, die zum Download von Excel-Dateien führen.
Einmal geöffnet, werden die Anwender aufgefordert, die Schaltflächen "Inhalt aktiveren" oder "Bearbeitung aktivieren" zu klicken, heisst es weiter. Anschliessen würde ein bösartiges Makro ausgeführt, welches Dateien mit dem Namen "besta.ocx", "bestb.ocx" und "bestc.ocx" herunterlädt.
Erste Spur führt zu Ransomware
Bei diesen "OCX"-Dateien handelt es sich um umbenannte DLLs (Dynamic Link Libraries). Diese Dateien werden mit dem Befehl "regsvr32.exe" ausgeführt. Anschliessend wird die Malware-Nutzlast installiert, heisst es weiter. Bei ähnlichen Angriffen wurden laut "Bleepingcomputer" der Trojaner Qbot (auch Qakbot und Quakbot) sowie Emotet installiert. Beide Trojaner können zu einem Ransomware-Angriff auf das gesamte Netzwerk führen.
Laut E-Mail an die Mitarbeitenden kann der firmeninterne Filter einige der E-Mails identifizieren und sie in Quarantäne versetzen. Um vorzubeugen, dass Mitarbeitende die E-Mails fälschlicherweise aus der Quarantäne entfernen, habe Ikea diese Funktion vorübergehend deaktiviert.
Angreifer hätten des öfteren versucht, Microsofts interne Exchange-Server anzugreifen. Dabei seien Schwachstellen in der Proxyshell und Proxylogin ausgenutzt worden, um Phishing-Angriffe durchzuführen. Auf Anfrage von "Bleepingcomputer" habe Ikea zwar nicht geantwortet, es sei jedoch wahrscheinlich, dass Ikea von einem ähnlichen Angriff betroffen sei.
Schaden noch nicht bekannt
Laut Bericht schätzt Ikea den Cyberangriff als schwerwiegend ein. Man sei sich weiter auch bewusst, dass es zu noch grösseren Störungen kommen könne. Die Betroffenen werden ausserdem von Ikea aufgefordert, die E-Mails der zuständigen IT-Abteilung und dem richtigen Absender zu melden.
Auch wenn es Angreifer oft auf grosse Unternehmen abgesehen haben, sind die Betroffenen häufig auch Privatpersonen. So hat die Hackerbande Conti kürzlich Fotos von Schweizer IDs im Darknet veröffentlicht. Lesen Sie hier die Hintergründe zum Angriff.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.