Il Federal Bureau of Investigation (FBI) ritiene che FIN7, un gruppo di hacker russo, sia dietro l'invio di USB infettati da ransomware alle organizzazioni. La banda di hacker è stata in precedenza dietro le operazioni di BlackMatter e Darkside.
Secondo l'agenzia di intelligence statunitense, i pacchi sono stati inviati tramite United Parcel Service e United States Postal Service e sembravano essere organizzazioni ufficiali.
In un recente avviso flash, l'FBI ha avvertito le organizzazioni con sede negli Stati Uniti di queste USB e ha dichiarato che il gruppo FIN7 ha preso di mira l' industria della difesa degli Stati Uniti.
I pacchi spediti dagli aggressori informatici comprendevano Bad Beetle USB/BadUSB con il logo di LilyGO che è generalmente disponibile su Internet per la vendita.
Hanno inoltre aggiunto che gli aggressori fingevano di provenire da Amazon o dal Dipartimento della salute e dei servizi umani degli Stati Uniti per ingannare i loro obiettivi.
Secondo la loro dichiarazione:
"Dall'agosto 2021, l'FBI ha ricevuto segnalazioni di diversi pacchi contenenti questi dispositivi USB, inviati alle aziende statunitensi nei settori dei trasporti, delle assicurazioni e della difesa",
"I pacchi sono stati inviati utilizzando il servizio postale degli Stati Uniti e United Parcel Service."
“Esistono due varianti di pacchetti: quelli che imitano l'HHS sono spesso accompagnati da lettere che fanno riferimento alle linee guida COVID-19 allegate a una chiavetta USB; e quelli che imitano Amazon sono arrivati in una confezione regalo decorativa contenente una lettera di ringraziamento fraudolenta, una carta regalo contraffatta e una chiavetta USB.
REvil o BlackMatter distribuiti su reti compromesse
I rapporti ricevuti dall'FBI da agosto menzionavano che, considerando l'entità imitata, i pacchi contenevano carte regalo fasulle, lettere contenenti le linee guida del Covid-19, oltre a biglietti di ringraziamento falsificati.
Non appena i target collegano l'USB ai loro computer, si registra automaticamente come tastiera HID (Human Interface Device) e quindi avvia l'iniezione di sequenze di tasti per scaricare payload di malware sui sistemi infetti.
L'obiettivo finale di FIN7 è ottenere l'accesso al sistema di un bersaglio e infettarlo con ransomware (inclusi REvil e BlackMatter) all'interno della rete tramite strumenti come Cobalt Strike, Griffon backdoor, script PowerShell e Metasploit.
FIN7 Attacchi
Questi attacchi seguono una serie di incidenti di cui l'FBI ha avvertito circa due anni fa, tra cui FIN7 che impersonava Best Buy e spediva unità flash dannose a ristoranti, attività commerciali e hotel.
Le segnalazioni di questi attacchi hanno iniziato ad essere sotto i riflettori da febbraio 2020. Vari obiettivi di questo incidente hanno riferito di essere stati chiamati e inviati via email dagli hacker per collegare i dispositivi ai loro sistemi.
(Credito immagine: BleepingComputer)
Da maggio 2020, gli obiettivi hanno ricevuto anche pacchi dannosi da FIN7 che contenevano articoli come orsacchiotti.
Il tipo di attacchi che FIN7 prende di mira ha successo solo se l'utente collega l'unità USB/unità ai propri sistemi. Le aziende possono prevenire attacchi come questi consentendo ai propri dipendenti di collegare USB e unità flash solo dopo che sono stati esaminati attentamente dai loro specialisti della sicurezza o in base ai loro ID hardware.
L'anno scorso, FIN7 ha anche formato una società falsa e ha provato a reclutare addetti alla sicurezza per gli attacchi informatici.
Questa violazione è nota per essere il più grande attacco ransomware che, secondo quanto riferito, ha colpito circa un milione di sistemi IT in tutto il mondo in 24 ore prendendo di mira una società di software americana, i sistemi di Kaseya.