Alarmy FBI, że hakerzy wysyłają do firm USB zainfekowane oprogramowaniem ransomware
Federalne Biuro Śledcze (FBI) uważa, że za wysyłaniem do organizacji nośników USB zainfekowanych oprogramowaniem ransomware stoi rosyjska grupa hakerska FIN7 . Gang hakerski stał wcześniej za operacjami BlackMatter i Darkside.
Według amerykańskiej agencji wywiadowczej paczki były wysyłane za pośrednictwem United Parcel Service i United States Postal Service i wydawały się być oficjalnymi organizacjami.
W niedawnym szybkim ostrzeżeniu FBI ostrzegło organizacje z siedzibą w USA przed tymi USB i oświadczyło, że grupa FIN7 atakuje przemysł obronny Stanów Zjednoczonych.
Przesyłki wysłane przez cyberprzestępców zawierały Bad Beetle USB/BadUSB z logo LilyGO, który jest ogólnie dostępny w sprzedaży w Internecie.
Dodali ponadto, że napastnicy udawali, że pochodzą z Amazona lub Departamentu Zdrowia i Opieki Społecznej USA, aby oszukać swoje cele.
Zgodnie z ich oświadczeniem:
„Od sierpnia 2021 r. FBI otrzymało raporty o kilku paczkach zawierających te urządzenia USB, wysłanych do amerykańskich firm z branży transportowej, ubezpieczeniowej i obronnej"
„Paczki zostały wysłane za pomocą United States Postal Service i United Parcel Service”.
„Istnieją dwie odmiany pakietów – tym imitującym HHS często towarzyszą listy odnoszące się do wytycznych COVID-19 dołączonych do USB; a ci imitujący Amazon przybyli w ozdobnym pudełku zawierającym oszukańczy list z podziękowaniami, sfałszowaną kartę podarunkową i USB”.
REvil lub BlackMatter wdrożone w zaatakowanych sieciach
W raportach otrzymanych do FBI z sierpnia wspomniano, że biorąc pod uwagę imitację, paczki zawierały fałszywe karty podarunkowe, listy zawierające wytyczne Covid-19, a także sfałszowane podziękowania.
Gdy tylko cele podłączą USB do swoich komputerów, automatycznie zarejestrują się jako klawiatura HID, a następnie inicjują wstrzykiwanie naciśnięć klawiszy, aby pobrać szkodliwe oprogramowanie do zainfekowanych systemów.
Ostatecznym celem FIN7 jest uzyskanie dostępu do systemu celu i zainfekowanie go oprogramowaniem ransomware (w tym REvil i BlackMatter) w sieci za pomocą narzędzi takich jak Cobalt Strike, backdoor Griffon, skrypty PowerShell i Metasploit.
FIN7 Ataki
Ataki te są następstwem serii incydentów, o których FBI ostrzegało około dwa lata temu, w tym FIN7 podszywania się pod Best Buy i wysyłania złośliwych dysków flash do restauracji, sklepów i hoteli.
Raporty o tych atakach zaczęły pojawiać się w centrum uwagi od lutego 2020 r. Różne cele tego incydentu zgłosiły, że wezwano do nich hakerów i wysłały do nich e-maile, aby podłączyć urządzenia do swoich systemów.
(Źródło zdjęcia: BleepingComputer)
Od maja 2020 r. cele otrzymywały również szkodliwe paczki przez FIN7, które zawierały takie elementy, jak pluszowe misie.
Typ ataków, których celem FIN7 jest cel, odnosi sukces tylko wtedy, gdy użytkownik podłączy dysk USB/dysk do swojego systemu. Firmy mogą zapobiegać takim atakom, umożliwiając swoim pracownikom podłączanie urządzeń USB i dysków flash tylko po dokładnym sprawdzeniu ich przez specjalistów ds. bezpieczeństwa lub na podstawie identyfikatorów sprzętu.
W zeszłym roku FIN7 utworzył również fałszywą firmę i próbował rekrutować pracowników ochrony do cyberataków.
Wiadomo, że to naruszenie jest największym atakiem ransomware, który podobno uderzył w około milion systemów informatycznych na całym świecie w ciągu 24 godzin, atakując amerykańską firmę programistyczną, systemy Kaseya.