FBI hoiatab, et häkkerid saadavad ettevõtetele lunavaraga nakatunud USB-mälupulki
Föderaalne Juurdlusbüroo (FBI) usub, et lunavaraga nakatunud USB-mälupulkade organisatsioonidele saatmise taga on Venemaa häkkimisrühmitus FIN7 . Häkkimisjõuk on varem olnud BlackMatteri ja Darkside'i operatsioonide taga.
USA luureagentuuri teatel saadeti pakid United Parcel Service'i ja United States Postal Service'i kaudu ning tundusid olevat ametlikud organisatsioonid.
Hiljutises kiirhoiatuses hoiatas FBI USA-s asuvaid organisatsioone nende USB-de eest ja teatas, et rühmitus FIN7 on võtnud sihikule Ameerika Ühendriikide kaitsetööstuse.
Küberründajate saadetud pakid koosnesid Bad Beetle USB/BadUSB -st koos LilyGO logoga, mis on üldiselt Internetis müügil.
Nad lisasid veel, et ründajad teesklesid, et nad on pärit Amazonist või USA tervishoiu- ja inimteenuste osakonnast, et oma sihtmärke petta.
Nende avalduse kohaselt:
"Alates 2021. aasta augustist on FBI saanud teateid mitmest neid USB-seadmeid sisaldavast pakist, mis on saadetud USA transpordi-, kindlustus- ja kaitsetööstuse ettevõtetele,"
"Pakid saadeti Ameerika Ühendriikide postiteenistuse ja United Parcel Service'i kaudu."
„Pakendeid on kaks varianti – HHS-i jäljendavatele pakenditele on sageli kaasas USB-ga kaasas olevad tähed, mis viitavad COVID-19 juhistele; ja Amazoni jäljendajad saabusid dekoratiivses kinkekarbis, mis sisaldas petturlikku tänukirja, võltsitud kinkekaarti ja USB-mälupulka.
REvil või BlackMatter on kasutusele võetud ohustatud võrkudes
Augustist FBI-le laekunud teadetes mainiti, et matkimist arvestades olid pakkides võltsitud kinkekaarte, Covid-19 juhiseid sisaldavaid kirju ning võltsitud tänukirju.
Niipea, kui sihtmärgid ühendavad USB oma arvutiga, registreerib see end automaatselt inimliidese seadme (HID) klaviatuurina ja alustab seejärel klahvivajutuste süstimist, et laadida alla pahavara kasulikud koormused nakatunud süsteemidesse.
FIN7 lõppeesmärk on saada juurdepääs sihtmärgi süsteemile ja nakatada see võrgus lunavaraga (sealhulgas REvili ja BlackMatter), kasutades selliseid tööriistu nagu Cobalt Strike, Griffon tagauks, PowerShelli skriptid ja Metasploit.
FIN7 ründab
Need rünnakud järgnesid mitmetele juhtumitele, mille eest FBI hoiatas umbes kaks aastat tagasi, sealhulgas FIN7 esinemine Best Buy'iga ja pahatahtlike mälupulkade saatmine restoranidele, jaemüügiettevõtetele ja hotellidele.
Teateid nendest rünnakutest hakati rambivalgusesse jõudma alates 2020. aasta veebruarist. Selle juhtumi erinevad sihtmärgid teatasid, et häkkerid helistasid ja saatsid neile e-kirja, et ühendada seadmed oma süsteemidega.
(Pildi krediit: BleepingComputer)
Alates 2020. aasta maist said sihtmärgid ka FIN7-lt pahatahtlikke pakke, mis sisaldasid selliseid esemeid nagu mängukarud.
FIN7 sihitud rünnakute tüüp muutub edukaks ainult siis, kui kasutaja ühendab USB/draivi oma süsteemidesse. Ettevõtted saavad selliseid rünnakuid ära hoida, lubades oma töötajatel ühendada USB-mälupulgaid ja välkmäluseadmeid alles pärast seda, kui turvaspetsialistid on need hoolikalt läbi uurinud või kui nad on nende riistvara ID-de alusel.
Eelmisel aastal moodustas FIN7 ka võltsfirma ja proovis värvata küberrünnakuteks turvatöötajaid.
See rikkumine on teadaolevalt suurim lunavararünnak, mis väidetavalt tabas 24 tunni jooksul umbes miljonit IT-süsteemi kogu maailmas, võttes sihikule Ameerika tarkvarafirma Kaseya süsteemid.