ФБР предупреждает, что хакеры отправляют зараженные вымогателями USB-накопители в фирмы
Федеральное бюро расследований (ФБР) считает, что FIN7, российская хакерская группа, занимается отправкой организациям USB-накопителей, зараженных программой-вымогателем. Хакерская банда ранее стояла за операциями BlackMatter и Darkside.
По данным спецслужб США, посылки были отправлены через United Parcel Service и Почтовую службу США и, по всей видимости, принадлежали официальным организациям.
В недавнем экстренном сообщении ФБР предупредило американские организации об этих USB-накопителях и заявило, что группа FIN7 нацелена на оборонную промышленность Соединенных Штатов.
Пакеты, отправленные злоумышленниками по почте, включали Bad Beetle USB/BadUSB с логотипом LilyGO, которые обычно доступны в Интернете для продажи.
Они также добавили, что злоумышленники выдавали себя за представителей Amazon или Министерства здравоохранения и социальных служб США, чтобы обмануть свои цели.
Согласно их заявлению:
«С августа 2021 года ФБР получило сообщения о нескольких посылках, содержащих эти USB-устройства, которые были отправлены американским компаниям в транспортной, страховой и оборонной отраслях», — говорится в сообщении.
«Посылки были отправлены через Почтовую службу США и United Parcel Service».
«Существует два варианта пакетов: те, которые имитируют HHS, часто сопровождаются буквами со ссылкой на рекомендации по COVID-19, прилагаемые к USB; а те, которые имитируют Amazon, прибыли в декоративной подарочной коробке, содержащей поддельное благодарственное письмо, поддельную подарочную карту и USB».
REvil или BlackMatter, развернутые в скомпрометированных сетях
В отчетах, полученных в ФБР в августе, упоминалось, что, учитывая имитируемую сущность, посылки содержали поддельные подарочные карты, письма, содержащие рекомендации Covid-19, а также фальсифицированные благодарственные письма.
Как только жертвы подключают USB к своим компьютерам, они автоматически регистрируются как клавиатура устройства с интерфейсом пользователя (HID), а затем инициируют ввод нажатий клавиш для загрузки полезных нагрузок вредоносного ПО в зараженные системы.
Конечная цель FIN7 — получить доступ к системе цели и заразить ее программами-вымогателями (включая REvil и BlackMatter) внутри сети с помощью таких инструментов, как Cobalt Strike, бэкдор Griffon, сценарии PowerShell и Metasploit.
Атаки FIN7
Эти атаки последовали за серией инцидентов, о которых ФБР предупредило около двух лет назад, включая FIN7, выдающий себя за Best Buy и отправляющий вредоносные флэш-накопители по почте ресторанам, предприятиям розничной торговли и отелям.
Сообщения об этих атаках начали появляться в центре внимания с февраля 2020 года. Различные жертвы этого инцидента сообщали, что хакеры звонили им и писали по электронной почте, чтобы подключить устройства к их системам.
(Изображение предоставлено: BleepingComputer)
С мая 2020 года жертвы также получали от FIN7 вредоносные посылки с такими предметами, как плюшевые мишки.
Тип атак, на которые направлен FIN7, становится успешным только в том случае, если пользователь подключает USB/накопитель к своей системе. Предприятия могут предотвратить подобные атаки, разрешив своим сотрудникам подключать USB-накопители и флэш-накопители только после тщательного изучения их специалистами по безопасности или на основе идентификаторов их оборудования.
В прошлом году FIN7 также создал поддельную компанию и попытался нанять сотрудников службы безопасности для кибератак.
Известно, что это нарушение является крупнейшей атакой программы-вымогателя, которая, как сообщается, поразила около миллиона ИТ-систем по всему миру за 24 часа, нацелившись на американскую фирму по разработке программного обеспечения Kaseya's systems.