Федеральное бюро расследований предупредило американские компании и предприятия о том, что киберпреступная группировка FIN7 рассылала USB-устройства, которые заражали системы вымогательским ПО. Для доставки флэшек злоумышленники пользовались услугами Почтовой службы США и UPS. С августа прошлого года они рассылали устройства с вредоносным ПО транспортным и страховым компаниям, а с ноября оборонным предприятиям.
Участники FIN7 выдавали себя за представителей Министерства здравоохранения и социальных служб США, а также работников Amazon, чтобы склонить жертв подключить USB-устройства к своим системам. ФБР рассказывает, что посылки также могли содержать рекомендации по профилактике COVID-19, поддельные подарочные карты и благодарственные письма. Однако главным компонентом бандеролей были флэшки марки LilyGO, которые имеются в свободной продаже.
После подключения USB-накопителя он определялся компьютером как клавиатура, отправляя на ПК набор клавиш, который устанавливал вредоносные программы. Конечной целью злоумышленников был доступ к сетям жертв и развертывание вымогательского ПО, такого как REvil и BlackMatter.
В своей деятельности хакеры использовали: PowerShell-скрипты, Metasploit, Cobalt Strike, Carbanak, GRIFFON, DICELOADER и TIRION.
Весной 2020 года ФБР предупредило о том, что операторы FIN7 выдавали себя за сотрудников торговой сети Best Buy, которые рассылали флэшки с вредоносным ПО по почте в отели, розничные магазины и рестораны. Некоторые злоумышленники выходили с жертвами на связь по телефону и электронной почте, убеждая подключить накопители к системам. Для усыпления бдительности своих целей мошенники помещали в посылки плюшевых медведей.
HID-атаки, которые проводили участники FIN7, могли быть успешны только в случаях, когда жертвы подключали USB-устройства к компьютерам. Для защиты от подобных нападений работодатели должны ограничить перечень разрешенного для подключения оборудования или эти устройства должны быть проверены службой безопасности.
В октябре прошлого года FIN7 создала фиктивную компанию Bastion Secure, которая использовала специалистов информационной безопасности для проведения атак шифровальщиков в ходе одного из этапов собеседования.
