Ikea kämpft gegen Cyberattacke
Ikea kämpft gegen einen Cyberangriff. Angreifer haben es auf die interne E-Mail-Kommunikation abgesehen. Die Phishing-Mails werden als Antwortketten getarnt.
![(Source: Ikea)](https://d1leteosk75kgr.cloudfront.net/styles/np8_full/s3/media/2021/11/29/ikea_automat_zuerich_hb_2019_1_0001_12.png?itok=EV8xieiL)
Das Einrichtungshaus Ikea kämpft gegen einen anhaltenden Cyberangriff. Die Angreifer haben es mit den Attacken auf die interne E-Mail Kommunikation abgesehen. Mithilfe kompromittierter E-Mailkonten werden sogenannte "Reply-Chain-Angriffe" durchgeführt, wie "Bleepingcomputer" berichtet.
"Es gibt eine laufende Cyberattacke, die auf Inter Ikea Mailboxen abzielt. Andere Ikea-Organisationen, Lieferanten und Geschäftspartner sind von demselben Angriff betroffen und verbreiten bösartige E-Mails an Personen bei Inter Ikea", heisse es laut Bericht in einer internen E-Mail an Ikea-Mitarbeitende.
Schadsoftware als Excel-Datei getarnt
Die Angreifer würden sich beispielsweise als Arbeitskollegen tarnen und auf laufende Konversationen antworten. Dadurch hätten es die Betroffenen besonders schwer, die E-Mails als Phishing-Angriff zu erkennen. In den betroffenen Nachrichten befinden sich laut "Bleepingcomuter" Hyperlinks, die zum Download von Excel-Dateien führen.
Einmal geöffnet, werden die Anwender aufgefordert, die Schaltflächen "Inhalt aktiveren" oder "Bearbeitung aktivieren" zu klicken, heisst es weiter. Anschliessen würde ein bösartiges Makro ausgeführt, welches Dateien mit dem Namen "besta.ocx", "bestb.ocx" und "bestc.ocx" herunterlädt.
Erste Spur führt zu Ransomware
Bei diesen "OCX"-Dateien handelt es sich um umbenannte DLLs (Dynamic Link Libraries). Diese Dateien werden mit dem Befehl "regsvr32.exe" ausgeführt. Anschliessend wird die Malware-Nutzlast installiert, heisst es weiter. Bei ähnlichen Angriffen wurden laut "Bleepingcomputer" der Trojaner Qbot (auch Qakbot und Quakbot) sowie Emotet installiert. Beide Trojaner können zu einem Ransomware-Angriff auf das gesamte Netzwerk führen.
Laut E-Mail an die Mitarbeitenden kann der firmeninterne Filter einige der E-Mails identifizieren und sie in Quarantäne versetzen. Um vorzubeugen, dass Mitarbeitende die E-Mails fälschlicherweise aus der Quarantäne entfernen, habe Ikea diese Funktion vorübergehend deaktiviert.
Angreifer hätten des öfteren versucht, Microsofts interne Exchange-Server anzugreifen. Dabei seien Schwachstellen in der Proxyshell und Proxylogin ausgenutzt worden, um Phishing-Angriffe durchzuführen. Auf Anfrage von "Bleepingcomputer" habe Ikea zwar nicht geantwortet, es sei jedoch wahrscheinlich, dass Ikea von einem ähnlichen Angriff betroffen sei.
Schaden noch nicht bekannt
Laut Bericht schätzt Ikea den Cyberangriff als schwerwiegend ein. Man sei sich weiter auch bewusst, dass es zu noch grösseren Störungen kommen könne. Die Betroffenen werden ausserdem von Ikea aufgefordert, die E-Mails der zuständigen IT-Abteilung und dem richtigen Absender zu melden.
Auch wenn es Angreifer oft auf grosse Unternehmen abgesehen haben, sind die Betroffenen häufig auch Privatpersonen. So hat die Hackerbande Conti kürzlich Fotos von Schweizer IDs im Darknet veröffentlicht. Lesen Sie hier die Hintergründe zum Angriff.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
![(Source: OrsiO / Pixabay.com)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/26/webcat-636172_1280.jpg?itok=4c5VDYw5)
Wenn orangene Katzen Unsinn veranstalten
![Teresa Anania übernimmt den Posten der CCO bei Sophos. (Source: zVg)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/24/teresaanania_sophos-cco_2024_0_1.jpg?itok=w6olj5FE)
Sophos beruft neue Chief Customer Officer
![Nadav Zafrir übernimmt im Dezember 2024 das Amt des CEO bei Check Point. (Source: zVg)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/24/check_point_nadav_zafrir_k.jpg?itok=ljYyRVBb)
Check Point hat einen neuen CEO
![(Source: ryanking999 / stock.adobe.com)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/24/adobestock_367433824.jpg?itok=VU5IoZQ0)
Play-Ransomware hat es auf Linux abgesehen
![(Source: DC Studio/Freepik.com)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/26/ransomware.jpg?itok=Ke4dCDqV)
Angreifer nehmen kritische Infrastrukturen ins Visier
![(Source: pch.vector/Freepik.com)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/25/error.jpg?itok=eWCuhz6i)
Ein Bug hat zur IT-Panne geführt
![(Source: zVg)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/25/ausschnitt-bosa_logo.jpeg?itok=z9m78w7s)
Darum lohnt sich die Teilnahme bei Best of Swiss Apps
![(Source: Growtika / unsplash.com)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/25/growtika-rzv8t2yvu6m-unsplash.jpg?itok=8_fpjHyL)
Chrome warnt Nutzende mit KI vor gefährlichen Dateien
![(Source: Micha Brändli / unsplash.com)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/26/micha-brandli-xteagvru_1u-unsplash.jpg?itok=YakH3APY)
Mandiant stuft nordkoreanische Cyberbande als APT45 ein
![(Source: Kasia Derenda / unsplash.com)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/26/kasia-derenda-fl3rf_t8dms-unsplash.jpg?itok=72tLCDjs)