Le Federal Bureau of Investigation (FBI) pense que FIN7, un groupe de piratage russe, est à l’origine de l’envoi de clés USB infectées par des ransomwares à des organisations. Le gang de piratage a déjà été à l’origine des opérations de BlackMatter et Darkside.
Selon l’agence de renseignement américaine, les colis ont été envoyés via United Parcel Service et United States Postal Service et semblaient être des organisations officielles.
Dans une récente alerte flash, le FBI a mis en garde les organisations basées aux États-Unis contre ces clés USB et a déclaré que le groupe FIN7 ciblait l’ industrie de la défense des États-Unis.
Les colis envoyés par les cyberattaquants comprenaient Bad Beetle USB/BadUSB avec le logo de LilyGO qui est généralement disponible sur Internet à la vente.
Ils ont en outre ajouté que les attaquants prétendaient appartenir à Amazon ou au département américain de la santé et des services sociaux pour tromper leurs cibles.
Selon leur déclaration :
"Depuis août 2021, le FBI a reçu des rapports faisant état de plusieurs colis contenant ces périphériques USB, envoyés à des entreprises américaines des secteurs du transport, de l’assurance et de la défense",
"Les colis ont été envoyés en utilisant le service postal des États-Unis et United Parcel Service."
«Il existe deux variantes de packages – ceux qui imitent le HHS sont souvent accompagnés de lettres faisant référence aux directives COVID-19 jointes à une clé USB; et ceux qui imitaient Amazon sont arrivés dans une boîte-cadeau décorative contenant une lettre de remerciement frauduleuse, une carte-cadeau contrefaite et une clé USB.
REvil ou BlackMatter déployés sur des réseaux compromis
Les rapports reçus au FBI à partir d’août mentionnaient que compte tenu de l’entité imitée, les colis contenaient de fausses cartes-cadeaux, des lettres contenant les directives de Covid-19, ainsi que des notes de remerciement falsifiées.
Dès que les cibles branchent l’USB à leurs ordinateurs, il s’enregistre automatiquement en tant que clavier HID (Human Interface Device), puis lance l’injection de frappes pour télécharger les charges utiles des logiciels malveillants sur les systèmes infectés.
L’objectif ultime de FIN7 est d’ accéder au système d’une cible et de l’infecter avec des ransomwares (y compris REvil ainsi que BlackMatter) au sein du réseau via des outils tels que Cobalt Strike, la porte dérobée Griffon, les scripts PowerShell et Metasploit.
Attaques FIN7
Ces attaques font suite à une série d’incidents sur lesquels le FBI avait mis en garde il y a environ deux ans, notamment FIN7 se faisant passer pour Best Buy et envoyant des clés USB malveillantes à des restaurants, des commerces de détail et des hôtels.
Les rapports de ces attaques ont commencé à être mis en lumière à partir de février 2020. Diverses cibles de cet incident ont signalé qu’elles avaient été appelées et envoyées par e-mail par les pirates pour connecter les appareils à leurs systèmes.
(Crédit image: BleepingComputer)
À partir de mai 2020, les cibles ont également reçu des colis malveillants de FIN7 contenant des articles tels que des ours en peluche.
Le type d’attaques ciblées par FIN7 ne réussit que si l’utilisateur branche l’USB/le lecteur dans ses systèmes. Les entreprises peuvent empêcher de telles attaques en permettant à leurs employés de connecter des clés USB et des clés USB uniquement après qu’ils ont été soigneusement examinés par leurs spécialistes de la sécurité ou sur la base de leurs identifiants matériels.
L’année dernière, FIN7 a également formé une fausse entreprise et a tenté de recruter des agents de sécurité pour les cyberattaques.
Cette brèche est connue pour être la plus grande attaque de ransomware qui aurait touché environ un million de systèmes informatiques dans le monde en 24 heures en ciblant une société de logiciels américaine, les systèmes de Kaseya.