ФБР попереджає про те, що хакери надсилають фірмам USB-флешки, заражені програмним забезпеченням-вимагачем
Федеральне бюро розслідувань (ФБР) вважає, що FIN7, російська хакерська група, стоїть за відправкою USB-заражених програм-вимагачів організаціям. Хакерська банда раніше стояла за операціями BlackMatter і Darkside.
За даними американської розвідки, пакунки були відправлені через United Parcel Service і United States Postal Service і, здавалося, були офіційними організаціями.
У нещодавньому миттєвому сповіщенні ФБР попередило американські організації про ці USB-порти та заявило, що група FIN7 націлена на оборонну промисловість Сполучених Штатів.
Пакунки, надіслані кібератаками, містили Bad Beetle USB/BadUSB з логотипом LilyGO, який зазвичай доступний для продажу в Інтернеті.
Крім того, вони додали, що зловмисники прикидалися представниками Amazon або Департаменту охорони здоров'я та соціальних служб США, щоб обдурити своїх цілей.
Згідно з їхньою заявою:
«З серпня 2021 року ФБР отримало повідомлення про декілька пакетів із цими USB-пристроями, надісланих американським підприємствам у транспортній, страховій та оборонній промисловості».
«Пакунки були відправлені за допомогою Поштової служби США та United Parcel Service».
«Існують два варіанти пакетів — ті, що імітують HHS, часто супроводжуються листами, що посилаються на рекомендації щодо COVID-19, доданими до USB; а ті, хто імітує Amazon, прибули в декоративній подарунковій коробці, яка містила шахрайський лист подяки, підроблену подарункову картку та USB».
REvil або BlackMatter розгорнуті в зламаних мережах
У звітах, отриманих до ФБР у серпні, зазначено, що, враховуючи імітацію, пакети містили фальшиві подарункові картки, листи, що містять рекомендації щодо Covid-19, а також сфальсифіковані листи подяки.
Щойно цілі підключають USB до своїх комп’ютерів, він автоматично реєструється як клавіатура пристрою інтерфейсу людини (HID), а потім ініціює натискання клавіш для завантаження шкідливих програм у заражені системи.
Кінцева мета FIN7 — отримати доступ до системи цілі та заразити її програмним забезпеченням-вимагачем (включаючи REvil, а також BlackMatter) у мережі за допомогою таких інструментів, як Cobalt Strike, бекдор Griffon, сценарії PowerShell та Metasploit.
FIN7 Атаки
Ці атаки слідують за серією інцидентів, про які ФБР попереджало близько двох років тому, зокрема, FIN7, який видає себе за Best Buy і розсилає шкідливі флеш-накопичувачі в ресторани, підприємства роздрібної торгівлі та готелі.
Повідомлення про ці атаки почали надходити в центр уваги з лютого 2020 року. Різні цілі цього інциденту повідомили, що хакери дзвонили їм і надсилали електронною поштою, щоб підключити пристрої до своїх систем.
(Зображення авторство: BleepingComputer)
З травня 2020 року цілі також отримували зловмисні посилки від FIN7, які містили такі предмети, як плюшеві ведмедики.
Тип атаки, на яку спрямований FIN7, стає успішним, лише якщо користувач підключає USB/накопичувач у свої системи. Компанії можуть запобігти подібним атакам, дозволяючи своїм співробітникам підключати USB-накопичувачі та флеш-накопичувачі лише після того, як їх ретельно перевірять їхні спеціалісти з безпеки або на основі їхніх ідентифікаторів обладнання.
Минулого року FIN7 також створив фейкову компанію і намагався залучити працівників служби безпеки для кібератак.
Відомо, що цей злом є найбільшою атакою програмного забезпечення-вимагача, яка, як повідомляється, вразила близько мільйона ІТ-систем у всьому світі за 24 години, націлившись на американську фірму, що займається програмним забезпеченням, системи Kaseya.