🧠 Блог посвящен теме VPN и безопасности, конфиденциальности данных в Интернете. Рассказываем про актуальные тренды и новости связанные с защитой.

ФБР предупреждает, что хакеры отправляют зараженные вымогателями USB-накопители в фирмы

16

Федеральное бюро расследований (ФБР) считает, что FIN7, российская хакерская группа, занимается отправкой организациям USB-накопителей, зараженных программой-вымогателем. Хакерская банда ранее стояла за операциями BlackMatter и Darkside.

По данным спецслужб США, посылки были отправлены через United Parcel Service и Почтовую службу США и, по всей видимости, принадлежали официальным организациям.

В недавнем экстренном сообщении ФБР предупредило американские организации об этих USB-накопителях и заявило, что группа FIN7 нацелена на оборонную промышленность Соединенных Штатов.

Пакеты, отправленные злоумышленниками по почте, включали Bad Beetle USB/BadUSB с логотипом LilyGO, которые обычно доступны в Интернете для продажи.

Они также добавили, что злоумышленники выдавали себя за представителей Amazon или Министерства здравоохранения и социальных служб США, чтобы обмануть свои цели.

Согласно их заявлению:

«С августа 2021 года ФБР получило сообщения о нескольких посылках, содержащих эти USB-устройства, которые были отправлены американским компаниям в транспортной, страховой и оборонной отраслях», — говорится в сообщении.

«Посылки были отправлены через Почтовую службу США и United Parcel Service».

«Существует два варианта пакетов: те, которые имитируют HHS, часто сопровождаются буквами со ссылкой на рекомендации по COVID-19, прилагаемые к USB; а те, которые имитируют Amazon, прибыли в декоративной подарочной коробке, содержащей поддельное благодарственное письмо, поддельную подарочную карту и USB».

REvil или BlackMatter, развернутые в скомпрометированных сетях

В отчетах, полученных в ФБР в августе, упоминалось, что, учитывая имитируемую сущность, посылки содержали поддельные подарочные карты, письма, содержащие рекомендации Covid-19, а также фальсифицированные благодарственные письма.

Как только жертвы подключают USB к своим компьютерам, они автоматически регистрируются как клавиатура устройства с интерфейсом пользователя (HID), а затем инициируют ввод нажатий клавиш для загрузки полезных нагрузок вредоносного ПО в зараженные системы.

Конечная цель FIN7 — получить доступ к системе цели и заразить ее программами-вымогателями (включая REvil и BlackMatter) внутри сети с помощью таких инструментов, как Cobalt Strike, бэкдор Griffon, сценарии PowerShell и Metasploit.

Атаки FIN7

Эти атаки последовали за серией инцидентов, о которых ФБР предупредило около двух лет назад, включая FIN7, выдающий себя за Best Buy и отправляющий вредоносные флэш-накопители по почте ресторанам, предприятиям розничной торговли и отелям.

Сообщения об этих атаках начали появляться в центре внимания с февраля 2020 года. Различные жертвы этого инцидента сообщали, что хакеры звонили им и писали по электронной почте, чтобы подключить устройства к их системам.

(Изображение предоставлено: BleepingComputer)

С мая 2020 года жертвы также получали от FIN7 вредоносные посылки с такими предметами, как плюшевые мишки.

Тип атак, на которые направлен FIN7, становится успешным только в том случае, если пользователь подключает USB/накопитель к своей системе. Предприятия могут предотвратить подобные атаки, разрешив своим сотрудникам подключать USB-накопители и флэш-накопители только после тщательного изучения их специалистами по безопасности или на основе идентификаторов их оборудования.

В прошлом году FIN7 также создал поддельную компанию и попытался нанять сотрудников службы безопасности для кибератак.

Известно, что это нарушение является крупнейшей атакой программы-вымогателя, которая, как сообщается, поразила около миллиона ИТ-систем по всему миру за 24 часа, нацелившись на американскую фирму по разработке программного обеспечения Kaseya's systems.

Этот веб-сайт использует файлы cookie для улучшения вашего опыта. Мы предполагаем, что вы согласны с этим, но вы можете отказаться, если хотите. ПринимаюПодробнее