Mientras intentas comprar una mesa Vebjörn o conseguir la mejor combinación para tu Sollerön, IKEA está tratando de sofocar un ciberataque en curso dentro de su infraestructura a nivel mundial. El viernes pasado se descubrió que los ciberdelincuentes tenían en su punto de mira a los empleados de IKEA, con ataques internos de phishing, utilizando correos electrónicos robados desde la cadena de respuesta.
Los ataques de correo electrónico de cadena de respuesta ocurren cuando el perpetrador de las amenazas se hace cargo de una cuenta de correo electrónico legítima. Entonces, envía un correo electrónico haciéndose pasar por esa persona en un hilo de correos electrónicos. Normalmente, estos emails contendrán archivos o enlaces a archivos que tienen malware incrustado en ellos, para que el atacante pueda seguir manteniendo el acceso a la empresa o acceder a activos adicionales. Este método de ataque puede ser bastante efectivo, ya que la persona que recibe el correo electrónico probablemente confía en el remitente y, por lo tanto, es más probable que descargue un archivo o abra un enlace.
En este caso, BleepingComputer adquirió un correo electrónico del personal de soporte de IKEA, explicando que hay un ataque de cadena de respuesta proveniente de buzones internos, así como de «otras organizaciones y socios comerciales comprometidos de IKEA». Este correo electrónico filtrado explica aún más datos al personal de IKEA. que los correos electrónicos de la cadena de respuesta. Pues estos contienen enlaces con siete dígitos al final, donde se mostró un correo electrónico de ejemplo de este ataque.
Lo preocupante de este ataque es que no está claro si los perpetradores han comprometido cuentas o han obtenido acceso a los servidores internos de Microsoft Exchange de IKEA. De cualquier manera, los correos electrónicos que se envían desde cuentas de confianza tienen la preocupación adicional de que los usuarios desprevenidos eliminarán los correos electrónicos de la cuarentena, pensando que se cometió un error. Visto lo sucedido, IKEA ha deshabilitado la capacidad de los usuarios para liberar correos electrónicos de la cuarentena, por precaución. Sin embargo, los atacantes pueden haber entregado sus cargas útiles ya, incluido el troyano Qbot y potencialmente Emotet, según las informaciones de VirusTotal encontradas por BleepingComputer.
Con estas preocupaciones y posibles cargas útiles que se entregan a sus redes internas, es más que probable que IKEA esté en alerta máxima ahora. En cualquier caso, la esperanza es que esto no conduzca a más problemas, como una infección por ransomware, pero tendremos que esperar y ver.
