FBI varoittaa, että hakkerit lähettävät kiristysohjelmien saastuttamia USB-tiedostoja yrityksille
Federal Bureau of Investigation (FBI) uskoo, että venäläinen hakkerointiryhmä FIN7 on kiristysohjelmien saastuttamien USB-laitteiden lähettämisen takana organisaatioille. Hakkerointijengi on aiemmin ollut BlackMatterin ja Darksiden toiminnan takana.
Yhdysvaltain tiedustelupalvelun mukaan paketit lähetettiin United Parcel Servicen ja United States Postal Servicen kautta ja ne näyttivät olevan virallisia organisaatioita.
Äskettäisessä salamahälytyksessä FBI varoitti yhdysvaltalaisia organisaatioita näistä USB-laitteista ja ilmoitti, että FIN7-ryhmä on hyökännyt Yhdysvaltojen puolustusteollisuudelle.
Kyberhyökkääjien postittamat paketit sisälsivät Bad Beetle USB/BadUSB :n LilyGO -logolla, joka on yleisesti saatavilla Internetissä myynnissä.
He lisäsivät lisäksi, että hyökkääjät teeskentelivät olevansa Amazonista tai Yhdysvaltain terveys- ja henkilöstöpalveluosastosta huijatakseen kohteitaan.
Heidän lausuntonsa mukaan:
"Elokuusta 2021 lähtien FBI on saanut raportteja useista näitä USB-laitteita sisältävistä paketeista, jotka on lähetetty yhdysvaltalaisille kuljetus-, vakuutus- ja puolustusteollisuuden yrityksille."
"Paketit lähetettiin käyttämällä Yhdysvaltain postipalvelua ja United Parcel Service -palvelua."
"Pakkauksista on kaksi muunnelmaa – HHS:ää jäljitteleviin pakkauksiin liittyy usein kirjeitä, joissa viitataan COVID-19-ohjeisiin, jotka on liitetty USB-liittimeen; ja Amazonia jäljittelevät ihmiset saapuivat koristeellisessa lahjarasiassa, joka sisälsi petollisen kiitoskirjeen, väärennetyn lahjakortin ja USB:n.
REvil tai BlackMatter otettu käyttöön vaarantuneissa verkoissa
FBI:lle elokuussa saaduissa raporteissa mainittiin, että pakkauksissa oli jäljitelty kokonaisuus huomioon ottaen tekaistuja lahjakortteja, kirjeitä, joissa oli Covid-19-ohjeita, sekä väärennettyjä kiitoskirjeitä.
Heti kun kohteet kytkevät USB-liittimen tietokoneisiinsa, se rekisteröi itsensä automaattisesti Human Interface Device (HID) -näppäimistöksi ja aloittaa sitten näppäinpainallusten syöttämisen haittaohjelmien hyötykuormien lataamiseksi tartunnan saaneisiin järjestelmiin.
FIN7:n perimmäinen tavoite on päästä käsiksi kohteen järjestelmään ja saastuttaa se kiristysohjelmilla (mukaan lukien REvil ja BlackMatter) verkossa sellaisten työkalujen avulla kuin Cobalt Strike, Griffon-takaovi, PowerShell-skriptit ja Metasploit.
FIN7 hyökkää
Nämä hyökkäykset seuraavat useita tapauksia, joista FBI varoitti noin kaksi vuotta sitten, mukaan lukien FIN7:n esiintyminen Best Buyna ja haitallisten flash-asemien lähettäminen ravintoloihin, vähittäiskaupan yrityksiin ja hotelleihin.
Raportit näistä hyökkäyksistä alkoivat tulla parrasvaloihin helmikuussa 2020. Tämän tapauksen useat kohteet ilmoittivat, että hakkerit soittivat ja lähettivät heille sähköpostia kytkeäkseen laitteet järjestelmiinsä.
(Kuvan luotto: BleepingComputer)
Toukokuusta 2020 alkaen kohteet saivat myös FIN7:ltä haitallisia paketteja, jotka sisälsivät tavaroita, kuten nallekarhuja.
Hyökkäystyypit, joihin FIN7 kohdistaa, onnistuvat vain, jos käyttäjä kytkee USB/aseman järjestelmiinsä. Yritykset voivat estää tällaisia hyökkäyksiä antamalla työntekijöidensä kytkeä USB- ja flash-asemia vasta sen jälkeen, kun tietoturvaasiantuntijat ovat tarkastaneet ne huolellisesti tai laitteistotunnusten perusteella.
Viime vuonna FIN7 perusti myös väärennetyn yrityksen ja yritti rekrytoida turvatyöntekijöitä kyberhyökkäyksiä varten.
Tämän tietomurron tiedetään olevan suurin kiristysohjelmahyökkäys, jonka kerrotaan osuneen noin miljoonaan IT-järjestelmään maailmanlaajuisesti 24 tunnissa amerikkalaisen ohjelmistoyrityksen Kaseyan järjestelmiin kohdistuneen hyökkäyksen seurauksena.