El FBI alerta de que los piratas informáticos están enviando USB infectados con ransomware a las empresas
La Oficina Federal de Investigaciones (FBI) cree que FIN7, un grupo de piratería ruso, está detrás del envío de USB infectados con ransomware a las organizaciones. La pandilla de hackers ha estado previamente detrás de las operaciones de BlackMatter y Darkside.
Según la agencia de inteligencia estadounidense, los paquetes fueron enviados a través de United Parcel Service y United States Postal Service y parecían ser organizaciones oficiales.
En una alerta relámpago reciente, el FBI advirtió a las organizaciones con sede en los EE. UU. sobre estos USB y declaró que el grupo FIN7 ha estado apuntando a la industria de defensa de los Estados Unidos.
Los paquetes enviados por los ciberatacantes incluían Bad Beetle USB/BadUSB con el logo de LilyGO que generalmente está disponible en Internet para la venta.
Agregaron además que los atacantes se hicieron pasar por Amazon o el Departamento de Salud y Servicios Humanos de EE. UU. para engañar a sus objetivos.
Según su declaración:
"Desde agosto de 2021, el FBI ha recibido informes de varios paquetes que contienen estos dispositivos USB, enviados a empresas estadounidenses en las industrias de transporte, seguros y defensa".
“Los paquetes se enviaron utilizando el Servicio Postal de los Estados Unidos y el Servicio de Paquetería Unido".
“Hay dos variaciones de paquetes: los que imitan al HHS a menudo van acompañados de cartas que hacen referencia a las pautas de COVID-19 adjuntas con un USB; y los que imitaban a Amazon llegaron en una caja de regalo decorativa que contenía una carta de agradecimiento fraudulenta, una tarjeta de regalo falsificada y un USB”.
REvil o BlackMatter desplegados en redes comprometidas
Los informes recibidos por el FBI desde agosto mencionaron que, considerando la entidad imitada, los paquetes contenían tarjetas de regalo falsas, cartas que contenían las pautas de Covid-19, así como notas de agradecimiento falsificadas.
Tan pronto como los objetivos conectan el USB a sus computadoras, se registra automáticamente como un teclado de dispositivo de interfaz humana (HID) y luego inicia la inyección de pulsaciones de teclas para descargar cargas útiles de malware en los sistemas infectados.
El objetivo final de FIN7 es obtener acceso al sistema de un objetivo e infectarlo con ransomware (incluidos REvil y BlackMatter) dentro de la red a través de herramientas como Cobalt Strike, la puerta trasera Griffon, los scripts de PowerShell y Metasploit.
Ataques FIN7
Estos ataques siguen a una serie de incidentes sobre los que el FBI advirtió hace unos dos años, incluido FIN7 haciéndose pasar por Best Buy y enviando unidades flash maliciosas a restaurantes, comercios minoristas y hoteles.
Los informes de estos ataques comenzaron a ser el centro de atención a partir de febrero de 2020. Varios objetivos de este incidente informaron que los piratas informáticos los llamaron y les enviaron correos electrónicos para conectar los dispositivos a sus sistemas.
(Crédito de la imagen: BleepingComputer)
Desde mayo de 2020, los objetivos también recibieron paquetes maliciosos de FIN7 que contenían artículos como osos de peluche.
El tipo de ataques a los que se dirige FIN7 solo tiene éxito si el usuario conecta el dispositivo USB a sus sistemas. Las empresas pueden evitar ataques como estos al permitir que sus empleados conecten USB y unidades flash solo después de que sus especialistas en seguridad los examinen cuidadosamente o en función de sus ID de hardware.
El año pasado, FIN7 también formó una empresa falsa e intentó reclutar trabajadores de seguridad para ataques cibernéticos.
Se sabe que esta brecha es el ataque de ransomware más grande que, según los informes, afectó a alrededor de un millón de sistemas de TI en todo el mundo en 24 horas al dirigirse a una empresa de software estadounidense, los sistemas de Kaseya.