Το Ομοσπονδιακό Γραφείο Ερευνών (FBI) προειδοποίησε τις αμερικανικές εταιρείες σε μια πρόσφατα ενημερωμένη ειδοποίηση flash ότι η κυβερνοεγκληματική ομάδα FIN7 με οικονομικά κίνητρα στόχευσε την αμυντική βιομηχανία των ΗΠΑ με πακέτα που περιείχαν κακόβουλες συσκευές USB για την ανάπτυξη ransomware.
Οι εισβολείς ταχυδρομούσαν πακέτα που περιείχαν συσκευές «BadUSB» ή «Bad Beetle USB» με το λογότυπο LilyGO, που διατίθενται συνήθως προς πώληση στο Διαδίκτυο.
Χρησιμοποίησαν την Ταχυδρομική Υπηρεσία των Ηνωμένων Πολιτειών (USPS) και την United Parcel Service (UPS) για να στείλουν email τα κακόβουλα πακέτα σε επιχειρήσεις στον κλάδο μεταφορών και ασφάλισης από τον Αύγουστο του 2021 και σε αμυντικές εταιρείες από τον Νοέμβριο του 2021.
To BlackMatter ή το REvil ransomware αναπτύχθηκε σε παραβιασμένα δίκτυα
Οι χειριστές FIN7 υποδύθηκαν την Amazon και το Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ (HHS) για να ξεγελάσουν τους στόχους ώστε να ανοίξουν τα πακέτα και να συνδέσουν τις μονάδες USB στα συστήματά τους.
Από τον Αύγουστο, οι αναφορές που ελήφθησαν από το FBI αναφέρουν ότι αυτά τα κακόβουλα πακέτα περιέχουν επίσης επιστολές σχετικά με οδηγίες για τον COVID-19 ή πλαστές δωροκάρτες και πλαστά ευχαριστήρια σημειώματα, ανάλογα με την οντότητα που πλαστοπροσωπείται.
Αφού οι στόχοι συνδέσουν τη μονάδα USB στους υπολογιστές τους, εγγράφεται αυτόματα ως πληκτρολόγιο συσκευής ανθρώπινης διεπαφής (HID) (επιτρέποντάς της να λειτουργεί ακόμη και με απενεργοποιημένες αφαιρούμενες συσκευές αποθήκευσης).
Στη συνέχεια, αρχίζει να εισάγει πλήκτρα για να εγκαταστήσει ωφέλιμα φορτία κακόβουλου λογισμικού στα παραβιασμένα συστήματα.
Ο τελικός στόχος του FIN7 σε τέτοιες επιθέσεις είναι η πρόσβαση στα δίκτυα των θυμάτων και η ανάπτυξη ransomware (συμπεριλαμβανομένων των BlackMatter και REvil) σε ένα παραβιασμένο δίκτυο χρησιμοποιώντας διάφορα εργαλεία, όπως Metasploit, Cobalt Strike, κακόβουλο λογισμικό Carbanak, το Griffon backdoor και τα σενάρια PowerShell.