Novembra beigās vadošais mēbeļu mazumtirgotājs IKEA cieta no nepārtrauktu pikšķerēšanas uzbrukumu kampaņas, ko veicina kompromitēti iekšējie un piegādātāju konti.
E-pasta vēstulēs darbinieki tika brīdināti, ka var sagaidīt pikšķerēšanas uzbrukumu mēģinājumus no “citām IKEA organizācijām, piegādātājiem un biznesa partneriem”. Šī kampaņa ir īpaši neatlaidīga, jo tā izmanto atbildēšanas ķēdes (Conversation layout) kompromitētajos kontos, iejaucas notiekošo sarunu vidū un novirza upurus uz ļaunprātīgiem Excel failiem.
Hakeru e–pastus grūti atpazīt
Atbildes ķēdes e-pasta pikšķerēšanas uzbrukumi hakeriem labi strādā, jo mēģinājums ne tikai nāk no e-pasta konta, kuru upuri atpazīst, bet arī tiek ievietots esošas e-pasta vēstuļu apmaiņas vidū. Ja šie pikšķerēšanas e-pasta ziņojumi pārāk neizceļas ar izmantoto valodu vai dīvainiem failu/URL nosaukumiem, saņēmējam nav iemesla domāt, ka tā nav uzticama persona
IKEA pikšķerēšanas uzbrukuma gadījumā noplūdušie e-pasta ekrānšāviņi liecina, ka ne izmantotā valoda, ne ļaunprātīgi URL adresāti nebija gluži nevainojami izpildīti. Tomēr vairākas personas uzņēmumā uz tiem ir “iekritušas”, klikšķinot un rūpīgi nepārbaudot e-pasta saturu.
Uzbrukumā tiek izmantota zināma Microsoft Exchange e-pasta serveru ievainojamība
Ievainojamība ir saistīta ar Janvāra 0-day virkni, kas tika izmantota, lai kompromitētu tūkstošiem uzņēmumu. Šī ievainojamība izmanto ProxyShell un ProxyLogon priekšrocības, lai pārtvertu un iejauktos notiekošajās e-pasta sarunās bez tiešas piekļuves upura iesūtnes mapītei e-pastā. Microsoft Martā un Maijā šīs ievainojamības laboja, taču administratoriem šie labojumi ir jāinstalē manuāli, un acīmredzot daži to joprojām nav izdarījuši.
Kompromitēti arī citi uzņēmumi
Iepriekš nezināms draudu dalībnieks (Threat actor), kas tiek dēvēts par “TR”, pēdējās nedēļās ar šādu pieeju ir kompromitējis citus uzņēmumus, izmantojot līdzīgus ļaunprātīgas programmatūras ielādes veidus. Viņi arī izmanto Excel dokumentu ar ļaunprātīgiem makrouzdevumiem, kas saņēmējam liek ieslēgt “satura” un “rediģēšanas” režīmus, un šajā laikā dokumentā tiek lejupielādēta ļaunatūra (bieži Qbot, Emotet un SquirrelWaffle).
IKEA cīnās, lai apturētu pikšķerēšanas uzbrukumu kampaņu
Lai gan šķiet, ka pikšķerēšanas uzbrukuma mērķis ir datu izspiešana un, iespējams, izpirkuma maksu pieprasošas programmatūras instalēšana, IKEA preses pārstāvis paziņoja, ka viņi vēl nav redzējuši pierādījumus par klientu vai darījumu partneru datu zādzību no iekšējā tīkla. Tomēr tas neizslēdz iespēju, ka var tikt nozagti iekšējie dokumenti.
IKEA arī paziņoja, ka pašlaik tiek veikta pilnīga pikšķerēšanas uzbrukuma izmeklēšana un ir veikti pasākumi, lai novērstu zaudējumus, un darbinieki ir apmācīti par pikšķerēšanas e-pasta vēstuļu atpazīšanu.
Ar šo uzbrukumu saistītā izspiedējvīrusa programma SquirrelWaffle ir kļuvusi par tendenci kiberuzbrucēju aprindās vismaz kopš oktobra, un tās pieeja atgādina slaveno ļaunatūru Emotet. Atbildes ķēžu uzbrucēji galvenokārt vēršas pret angļu valodā strādājošām organizācijām, taču ir novēroti arī uzbrukumi vairākām citām konkrētām Eiropas valstīm un ziņu sūtīšana to dzimtajā valodā: Francija, Vācija, Nīderlande un Polija.
Jauna norma
Uzņēmuma YouAttest izpilddirektors Garets Grejeks atzīst, ka šādas lietas nu jau ir kļuvušas par “jaunu normu”:
“Vēl viens piemērs mūsu uzņēmumu pastāvīgai skenēšanai un zondēšanai. Katra ievainojamība tiks izpētīta un izmantota… Nepieciešama pastāvīga modrība gan lietotāju, gan administratoru kontos, jo īpaši, ja uzņēmums aizsargā klientu, finanšu un veselības aprūpes datus.”
