Die auch unter dem Namen Carbanank bekannte Bande setzt demnach darauf, dass die Betroffenen die Speichermedien in Firmenrechner einstecken und ihre Systeme so mit Malware infizieren. Darauf aufbauend erfolgten weitergehende IT-Angriffe und Online-Erpressungen.
"Seit August 2021 hat das FBI Berichte über mehrere Pakete mit diesen USB-Geräten erhalten, die an US-Unternehmen in der Transport-, Versicherungs- und Verteidigungsbranche geschickt wurden", erklärte die Strafverfolgungsbehörde in einer Sicherheitswarnung, die sie am Donnerstag an registrierte Mitglieder der öffentlich-privaten Partnerschaft InfraGard versandte. Die Sendungen wurden demnach über den US Postal Service und UPS ausgeliefert.
USB-Laufwerk registriert sich als Tastatur
Es gebe zwei Varianten von Paketen, führte das FBI laut US-Medienberichten aus. Bei der einen werde das US Department of Health and Human Services (HHS) als Absender angegeben. Enthalten seien darin neben einem USB-Stick oft Briefe, die sich auf Covid-19-Richtlinien der Behörde beziehen. In den anderen Fällen kommen die tückischen Speichermedien verpackt in einer dekorativen Geschenkbox von Amazon. Diese enthält auch ein gefälschtes Dankesschreiben. In beiden Versionen verwendeten die Angreifer USB-Geräte der Marke LilyGO.
Wenn die Empfänger die Sticks an ihre Computer anschließen, erfolgt darüber laut dem FBI eine sogenannte BadUSB-Attacke. Dabei registriert sich das USB-Laufwerk als Tastatur in Form eines Human Interface Device (HID). Es kann so Operationen ausführen, selbst wenn auf dem Betriebssystem des Rechners voreingestellt ist, dass externe Speichermedien nicht automatisch ausgeführt werden sollen.
Ransomware
Die Programmroutinen auf dem Stick senden dann eine Reihe vorkonfigurierter automatischer Tastenanschläge an den PC des Benutzers. Sie führen PowerShell-Befehle aus, die verschiedene Malware-Varianten herunterladen und installieren. Diese fungieren wiederum als Hintertür für die Angreifer in die Netzwerke der Opfer. In den untersuchten Fällen hat das FBI festgestellt, dass sich die Gang Administrator-Rechte verschaffte und dann auf andere lokale Systeme übergriff.
Die FIN7-Akteure, die seit 2013 auch bereits mit raffinierten Phishing-Attacken und Schadsoftware weltweit in Bankserver und Geldautomaten sowie Bezahlterminals eindrangen und dafür teils mit Gefängnisstrafen büßten, verwendeten der Warnung zufolge dann eine Reihe von Instrumenten wie Metasploit, Cobalt Strike, PowerShell-Skripte, Carbanak, Griffon, Diceloader und Trion. Darüber installierten sie dann Ransomware wie BlackMatter und REvil in dem angegriffenen Netzwerk, verschlüsselten mit diesen Trojanern auffindbare Dateien und forderten Lösegeld für deren Freigabe.
Zusätzliche Kontaktaufnahme per E-Mail oder Telefon
Die neue Welle von USB-Drive-by-Attacken folgt auf eine frühere Serie einschlägiger Vorkommnisse, vor denen das FBI bereits vor zwei Jahren warnte. Damals agierte FIN7 im Namen des US-Elektronikhändlers Best Buy und sandte unter dessen Logo ähnliche Pakete mit schädlichen Flash-Laufwerken an Hotels, Restaurants und Einzelhandelsgeschäfte.
Erste Berichte über solche Angriffe tauchten bereits im Februar 2020 auf. Einige der Zielpersonen gaben an, dass die Kriminellen sie per E-Mail oder telefonisch dazu drängten, die Laufwerke mit ihren Systemen zu verbinden. Teils sollen die Gauner demnach auch niedliche Figuren wie Teddybären mitgeschickt haben, um die potenziellen Opfer zum Einsatz der Geräte zu ermuntern.
Unternehmen können sich gegen solche Attacken schützen, indem sie ihren Mitarbeitern nur den Anschluss von USB-Geräten erlauben, die über eine freigegebene Hardware-ID verfügen oder vom internen IT-Sicherheitsteam zuvor überprüft wurden.
Weitere Informationen zum Business Security finden Sie hier.
