Federal Bureau of Investigation (FBI) tror att FIN7, en rysk hackergrupp, ligger bakom att skicka USBs infekterade med ransomware till organisationer. Hackinggänget har tidigare legat bakom verksamheten i BlackMatter och Darkside.
Enligt den amerikanska underrättelsetjänsten skickades paketen via United Parcel Service och United States Postal Service och verkade vara officiella organisationer.
I en snabbvarning nyligen varnade FBI USA-baserade organisationer för dessa USB-enheter och förklarade att gruppen FIN7 har riktat sig mot USA:s försvarsindustri.
Paketen som skickades av cyberattackarna bestod av Bad Beetle USB/BadUSB med LilyGOs logotyp som är allmänt tillgänglig på internet för försäljning.
De tillade vidare att angriparna låtsades vara från Amazon eller USA:s Health and Human Services Department för att lura sina mål.
Enligt deras uttalande:
"Sedan augusti 2021 har FBI tagit emot rapporter om flera paket som innehåller dessa USB-enheter, skickade till amerikanska företag inom transport-, försäkrings- och försvarsindustrin,"
"Paketen skickades med United States Postal Service och United Parcel Service."
"Det finns två varianter av paket – de som imiterar HHS åtföljs ofta av brev som hänvisar till riktlinjer för covid-19 som bifogas en USB; och de som imiterade Amazon anlände i en dekorativ presentförpackning innehållande ett bedrägligt tackbrev, förfalskat presentkort och en USB.
REvil eller BlackMatter distribueras på utsatta nätverk
Rapporterna som mottogs till FBI från augusti nämnde att med tanke på den imiterade enheten innehöll paketen falska presentkort, brev som innehöll riktlinjerna för Covid-19, samt förfalskade tacklappar.
Så snart målen ansluter USB till sina datorer, registrerar det sig som ett HID-tangentbord (Human Interface Device) automatiskt och initierar sedan injicerande tangenttryckningar för att ladda ner skadlig programvara till de infekterade systemen.
Det slutliga målet med FIN7 är att få tillgång till ett måls system och infektera det med ransomware (inklusive REvil såväl som BlackMatter) inom nätverket genom verktyg som Cobalt Strike, Griffon-bakdörren, PowerShell-skript och Metasploit.
FIN7 attacker
Dessa attacker följer en rad incidenter som FBI varnade för för cirka två år sedan, inklusive FIN7 som utger sig för att vara Best Buy och skicka skadliga flash-enheter till restauranger, detaljhandelsföretag och hotell.
Rapporterna om dessa attacker började komma fram i rampljuset från februari 2020. Olika mål för denna incident rapporterade att de ringdes upp och mejlades av hackarna för att koppla in enheterna till deras system.
(Bildkredit: BleepingComputer)
Från maj 2020 tog mål även emot skadliga paket från FIN7 som innehöll föremål som teddybjörnar.
Den typ av attacker som FIN7 riktar sig mot blir bara framgångsrik om användaren ansluter USB/enheten till sina system. Företag kan förhindra attacker som dessa genom att tillåta sina anställda att ansluta USBs och flash-enheter först efter att de noggrant undersökts av sina säkerhetsspecialister eller baserat på deras hårdvaru-ID.
Förra året bildade FIN7 också ett falskt företag och försökte rekrytera säkerhetsarbetare för cyberattacker.
Denna intrång är känd för att vara den största ransomware-attacken som enligt uppgift träffade runt en miljon IT-system världen över under 24 timmar genom att rikta in sig på ett amerikanskt mjukvaruföretag, Kaseyas system.