O Federal Bureau of Investigation (FBI) acredita que o FIN7, um grupo de hackers russo, está por trás do envio de USBs infectados com ransomware para organizações. A gangue de hackers já esteve por trás das operações da BlackMatter e Darkside.
De acordo com a agência de inteligência dos EUA, os pacotes foram enviados através do United Parcel Service e do United States Postal Service e pareciam ser organizações oficiais.
Em um alerta flash recente, o FBI alertou as organizações sediadas nos EUA sobre esses USBs e declarou que o grupo FIN7 tem como alvo a indústria de defesa dos Estados Unidos.
Os pacotes enviados pelos ciberataques incluíam Bad Beetle USB/BadUSB com o logotipo da LilyGO que geralmente está disponível na internet para venda.
Eles acrescentaram ainda que os invasores fingiram ser da Amazon ou do Departamento de Saúde e Serviços Humanos dos EUA para enganar seus alvos.
De acordo com sua declaração:
“Desde agosto de 2021, o FBI recebeu relatos de vários pacotes contendo esses dispositivos USB, enviados para empresas dos EUA nos setores de transporte, seguros e defesa", disse.
“Os pacotes foram enviados usando o United States Postal Service e United Parcel Service.”
“Existem duas variações de pacotes – aqueles que imitam o HHS geralmente são acompanhados por cartas referenciando as diretrizes do COVID-19 anexadas a um USB; e aqueles que imitavam a Amazon chegaram em uma caixa de presente decorativa contendo uma carta de agradecimento fraudulenta, um cartão-presente falsificado e um USB.”
REvil ou BlackMatter implantado em redes comprometidas
Os relatórios recebidos ao FBI a partir de agosto mencionavam que, considerando a entidade imitada, os pacotes continham cartões-presente falsos, cartas contendo as diretrizes do Covid-19, bem como notas de agradecimento falsificadas.
Assim que os alvos conectam o USB aos seus computadores, ele se registra automaticamente como um teclado de dispositivo de interface humana (HID) e inicia a injeção de pressionamentos de tecla para baixar cargas de malware para os sistemas infectados.
O objetivo final do FIN7 é obter acesso ao sistema de um alvo e infectá-lo com ransomware (incluindo REvil e BlackMatter) dentro da rede por meio de ferramentas como Cobalt Strike, o backdoor Griffon, scripts PowerShell e Metasploit.
Ataques FIN7
Esses ataques seguem uma série de incidentes sobre os quais o FBI alertou há cerca de dois anos, incluindo o FIN7 se passando pela Best Buy e enviando flash drives maliciosos para restaurantes, empresas de varejo e hotéis.
Os relatórios desses ataques começaram a ficar no centro das atenções a partir de fevereiro de 2020. Vários alvos desse incidente relataram que foram chamados e enviados por e-mail pelos hackers para conectar os dispositivos em seus sistemas.
(Crédito da imagem: BleepingComputer)
A partir de maio de 2020, os alvos também receberam pacotes maliciosos do FIN7 que continham itens como ursinhos de pelúcia.
O tipo de ataques alvos do FIN7 só se torna bem-sucedido se o usuário conectar o USB/drive em seus sistemas. As empresas podem evitar ataques como esses, permitindo que seus funcionários conectem USBs e unidades flash somente após serem examinados cuidadosamente por seus especialistas em segurança ou com base em suas IDs de hardware.
No ano passado, o FIN7 também formou uma empresa falsa e tentou recrutar trabalhadores de segurança para ataques cibernéticos.
Essa violação é conhecida por ser o maior ataque de ransomware que atingiu cerca de um milhão de sistemas de TI em todo o mundo em 24 horas, visando uma empresa de software americana, a Kaseya Systems.