Das FBI warnt davor, dass Hacker Ransomware-infizierte USBs an Firmen senden
Das Federal Bureau of Investigation (FBI) glaubt, dass FIN7, eine russische Hacking-Gruppe, hinter dem Versand von mit Ransomware infizierten USBs an Organisationen steckt. Die Hacker-Gang stand zuvor hinter den Operationen von BlackMatter und Darkside.
Nach Angaben des US-Geheimdienstes wurden die Pakete über United Parcel Service und United States Postal Service verschickt und schienen offizielle Organisationen zu sein.
In einer kürzlichen Blitzwarnung warnte das FBI in den USA ansässige Organisationen vor diesen USBs und erklärte, dass die Gruppe FIN7 die Verteidigungsindustrie der Vereinigten Staaten ins Visier genommen habe.
Die von den Cyberangreifern verschickten Pakete enthielten Bad Beetle USB/BadUSB mit dem Logo von LilyGO, das allgemein im Internet zum Verkauf steht.
Sie fügten weiter hinzu, dass die Angreifer vorgaben, von Amazon oder dem US- Gesundheits- und Sozialministerium zu sein, um ihre Ziele auszutricksen.
Nach ihrer Aussage:
„Seit August 2021 hat das FBI Berichte über mehrere Pakete mit diesen USB-Geräten erhalten, die an US-Unternehmen in der Transport-, Versicherungs- und Verteidigungsindustrie gesendet wurden.”
„Die Pakete wurden mit dem United States Postal Service und dem United Parcel Service verschickt.”
„Es gibt zwei Varianten von Verpackungen – diejenigen, die HHS imitieren, werden oft von Briefen begleitet, die auf die COVID-19-Richtlinien verweisen, die einem USB beigefügt sind; und diejenigen, die Amazon imitierten, kamen in einer dekorativen Geschenkbox an, die einen betrügerischen Dankesbrief, eine gefälschte Geschenkkarte und einen USB-Stick enthielt.”
REvil oder BlackMatter, die in kompromittierten Netzwerken bereitgestellt werden
In den Berichten, die das FBI vom August erhielt, wurde erwähnt, dass die Pakete angesichts der nachgeahmten Entität gefälschte Geschenkkarten, Briefe mit den Richtlinien von Covid-19 sowie gefälschte Dankesschreiben enthielten.
Sobald die Opfer den USB-Stick an ihre Computer anschließen, registriert er sich automatisch als HID-Tastatur (Human Interface Device) und initiiert dann das Einfügen von Tastenanschlägen, um Malware-Payloads auf die infizierten Systeme herunterzuladen.
Das ultimative Ziel von FIN7 ist es, Zugriff auf das System eines Ziels zu erhalten und es mit Ransomware (einschließlich REvil sowie BlackMatter) innerhalb des Netzwerks durch Tools wie Cobalt Strike, die Griffon-Hintertür, PowerShell-Skripte und Metasploit zu infizieren.
FIN7-Angriffe
Diese Angriffe folgen einer Reihe von Vorfällen, vor denen das FBI vor etwa zwei Jahren gewarnt hat, darunter FIN7, der sich als Best Buy ausgibt und bösartige Flash-Laufwerke an Restaurants, Einzelhandelsgeschäfte und Hotels verschickt.
Die Berichte über diese Angriffe kamen ab Februar 2020 ins Rampenlicht. Verschiedene Ziele dieses Vorfalls berichteten, dass sie von den Hackern angerufen und per E-Mail benachrichtigt wurden, um die Geräte an ihre Systeme anzuschließen.
(Bildnachweis: BleepingComputer)
Ab Mai 2020 erhielten Ziele auch böswillige Pakete von FIN7, die Gegenstände wie Teddybären enthielten.
Die Art von Angriffen, auf die FIN7 abzielt, wird nur erfolgreich, wenn der Benutzer den USB/das Laufwerk an sein System anschließt. Unternehmen können Angriffe wie diese verhindern, indem sie ihren Mitarbeitern erlauben, USBs und Flash-Laufwerke nur nach sorgfältiger Prüfung durch ihre Sicherheitsspezialisten oder anhand ihrer Hardware-IDs anzuschließen.
Letztes Jahr gründete FIN7 auch ein Scheinunternehmen und versuchte, Sicherheitskräfte für Cyberangriffe zu rekrutieren.
Dieser Verstoß ist bekanntermaßen der größte Ransomware-Angriff, der Berichten zufolge innerhalb von 24 Stunden rund eine Million IT-Systeme weltweit getroffen hat, indem er auf die Systeme einer amerikanischen Softwarefirma, Kaseya's, abzielte.