Σύμφωνα με το FBI, μια ομάδα κυβερνοεγκλήματος στέλνει ταχυδρομικά μονάδες USB με την ελπίδα ότι οι παραλήπτες θα τις συνδέσουν στον υπολογιστή τους και θα εγκαταστήσουν ransomware στα δίκτυά τους.
Δείτε επίσης: FinalSite: Δεν κλάπηκαν σχολικά δεδομένα από την επίθεση ransomware
Τα USB drives περιέχουν τις λεγόμενες επιθέσεις «BadUSB». Στάλθηκαν ταχυδρομικά μέσω της United States Postal Service και της United Parcel Service. Ο ένας τύπος περιείχε ένα μήνυμα που υποδύθηκε το Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ και ισχυριζόταν ότι ήταν μια προειδοποίηση για τον COVID-19. Άλλα κακόβουλα USB στάλθηκαν με μια δωροκάρτα που ισχυριζόταν ότι είναι από την Amazon.
Το BadUSB εκμεταλλεύεται την ευελιξία του προτύπου USB και επιτρέπει σε έναν εισβολέα να επαναπρογραμματίσει μια μονάδα USB για, για παράδειγμα, να μιμηθεί ένα keyboard για να δημιουργήσει πληκτρολογήσεις και εντολές σε έναν υπολογιστή, να εγκαταστήσει malware πριν από την εκκίνηση του λειτουργικού συστήματος ή να πλαστογραφήσει μια κάρτα δικτύου και να ανακατευθύνει το traffic.
Δείτε επίσης: Το νέο ransomware Night Sky στοχεύει εταιρικά δίκτυα
Αν και οι επιθέσεις BadUSB δεν είναι συνηθισμένες, οι εγκληματίες του κυβερνοχώρου το 2020 ταχυδρόμησαν μονάδες BadUSB σε στόχους με ένα μήνυμα που ισχυριζόταν ότι προέρχεται από το BestBuy που παρότρυνε τους παραλήπτες να εισάγουν ένα κακόβουλο thumb drive USB σε έναν υπολογιστή προκειμένου να δουν τα προϊόντα που θα μπορούσαν να εξαργυρωθούν από μια υποτιθέμενη δωροκάρτα. Αυτή η επίθεση αποδόθηκε στην ομάδα FIN7, η οποία πιστεύεται ότι βρίσκεται πίσω και από αυτήν την επίθεση.
Σύμφωνα με το The Record, το FBI προειδοποίησε ότι οι νέες επιθέσεις BadUSB στάλθηκαν σε συσκευές με το brand LILYGO. Η αλληλογραφία παραδόθηκε σε πακέτα σε οργανισμούς στους τομείς των μεταφορών και των ασφαλίσεων από τον Αύγουστο, ενώ οι στόχοι της αμυντικής βιομηχανίας έχουν λάβει τα πακέτα από τον Νοέμβριο.
Τα USB drives διαμορφώθηκαν έτσι ώστε να εγγράφονται ως συσκευή keyboard αφού συνδεθούν. Στη συνέχεια έκαναν inject keystrokes στον υπολογιστή-στόχο για να εγκαταστήσουν malware. Εγκαταστάθηκαν πολυάριθμα εργαλεία επίθεσης που επέτρεπαν την παραβίαση υπολογιστών, την πλευρική κίνηση σε ένα δίκτυο και την εγκατάσταση πρόσθετου malware.
Δείτε επίσης: Η επίθεση ransomware FinalSite κλείνει χιλιάδες σχολικούς ιστότοπους
Τα εργαλεία χρησιμοποιήθηκαν για την ανάπτυξη πολλαπλών στελεχών ransomware, συμπεριλαμβανομένων των BlackBatter και REvil. Το BlackMatter πιστεύεται ότι είναι ένα rebrand της ομάδας ransomware DarkSide, η οποία φάνηκε να έκλεισε τις δραστηριότητές της μετά την επίθεση στην αμερικανική εταιρεία διανομής καυσίμων Colonial Pipeline τον Μάιο. Αυτή η επίθεση προκάλεσε συζητήσεις μεταξύ της κυβέρνησης Μπάιντεν και του Κρεμλίνου σχετικά με επιθέσεις σε υποδομές ζωτικής σημασίας.
Πηγή πληροφοριών: zdnet.com
