BeTech: noticias de tecnología

CIBERCRIMEN

Quieren hackear Ikea, pero tus datos online están seguros

La compañía está viendo un aumento en los intentos de ciberataque, aunque oficialmente no han robado datos de clientes.

0
Quieren hackear Ikea, pero tus datos online están seguros

Hoy día, en el mundo digital y online en el que nos movemos, los datos de ti, de mi y en general de todos los usuarios/as sin importar condición, clase o trabajo, valen más que el oro. Por ello hay quien vive exclusivamente de comerciar con bases de datos robadas de cientos, miles o millones de clientes de una plataforma, servicio o compañía.

Y si hablamos de un gigante como es Ikea, hablaremos de una base de datos gigantesca.

Aumentan los ciberataques contra Ikea

Según el site BleepingComputer, IKEA “está luchando contra ciberataques que se dirigen a los empleados en ataques de phishing internos utilizando correos electrónicos de cadena de respuesta robados”. Un ataque de email de cadena de respuesta es cuando un cibercriminal roba correos electrónicos corporativos legítimos y luego los responde con enlaces a documentos maliciosos que instalan malware en los dispositivos de los destinatarios.

Como estos emails de la cadena de respuesta son correos legítimos de una empresa y suelen enviarse desde cuentas de correo electrónico y servidores internos comprometidos, los destinatarios confían en el correo electrónico y es más probable que abran los documentos maliciosos. En los correos electrónicos internos vistos por BleepingComputer, IKEA advierte a los empleados de un ciberataque en cadena de respuesta dirigido a los buzones internos. Estos emails también se están enviando desde otras organizaciones y socios comerciales de IKEA comprometidos.

Objetivo: La base de datos de clientes de Ikea

"Hay un ciberataque en curso que tiene como objetivo los buzones de correo de Inter IKEA. Otras organizaciones, proveedores y socios comerciales de IKEA están comprometidos por el mismo ataque y están propagando correos electrónicos maliciosos a personas de Inter IKEA", explica un correo electrónico interno enviado a los empleados de IKEA y visto por BleepingComputer.

"Esto significa que el ataque puede llegar a través del correo electrónico de alguien con quien se trabaja, de cualquier organización externa, y como respuesta a una conversación ya en curso. Por lo tanto, es difícil de detectar, por lo que te pedimos que extremes las precauciones”.

Los equipos IKEA están advirtiendo a los empleados de que estos emails de la cadena de respuesta contienen enlaces con siete dígitos al final. Además, se dice a los empleados que no abran los correos electrónicos, independientemente de quién los haya enviado, y que los comuniquen inmediatamente al departamento de TI. Las armas usadas por los hackers han comenzado recientemente “a comprometer los servidores internos de Microsoft Exchange utilizando las vulnerabilidades ProxyShell y ProxyLogin para realizar ataques de phishing”.

También existe la preocupación de que los destinatarios puedan liberar los correos electrónicos de phishing maliciosos de la cuarentena, pensando que fueron capturados en los filtros por error. Debido a esto, están deshabilitando la posibilidad de que los empleados liberen los correos electrónicos hasta que se resuelva el ataque.

Emotet al ataque

A partir de las URLs compartidas en el correo electrónico de phishing redactado anteriormente, BleepingComputer ha podido identificar el ataque dirigido a IKEA:

  1. Una vez que se hace clic en esos botones, se ejecutan macros maliciosas que descargan archivos denominados 'besta.ocx', 'bestb.ocx' y 'bestc.ocx' de un sitio remoto y los guardan en la carpeta C:\Datop.
  2. Estos archivos OCX se renombran como DLL y se ejecutan mediante el comando regsvr32.exe para instalar la carga útil del malware.

Se han visto campañas que utilizan este método para instalar el troyano Qbot (también conocido como QakBot y Quakbot) y posiblemente Emotet, según un envío de VirusTotal encontrado por BleepingComputer. Los troyanos Qbot y Emotet conducen a un mayor compromiso de la red y, en última instancia, al despliegue de ransomware en una red violada.

No, tus datos no han sido robados

Hoy, la compañía sueca ha desmentido a Europa Press que se haya producido un ataque. Lo que ha ocurrido es que "se ha detectado un aumento en los intentos de ataques de 'phishing' a la plantilla y varias organizaciones externas fuera de Ingka Group han sido identificadas como fuentes de estos correos electrónicos fraudulentos", han explicado desde Ingka Group, el franquiciado de Ikea y dueño de la mayor parte de sus tiendas, en un comunicado.


Ante estos intentos, se ha alertado a nivel interno a los trabajadores para estén alerta y tomen las precauciones necesarias. Además de esto, la compañía asegura que "se han tomado medidas para evitar cualquier impacto en los clientes, empleados y socios comerciales de Ikea", y que "no hay indicios de que datos personales estén en riesgo o se hayan visto comprometidos".