Подаръчни USB флашки атакуват с рансъмуер военни компании в САЩ
(снимка: CC0 Public Domain)
Една от най-успешните кибербанда – FIN7, съставена от източноевропейци – изпраща по пощата до американски военни, застрахователни и транспортни компании USB флашки, съдържащи рансъмуер, алармира разследване на ФБР.
Нападателите използват най-големите американски пощенски услуги USPS и UPS, посочвайки Amazon и Министерството на здравеопазването на САЩ като изпращачи. Кампанията е в ход от няколко месеца, като ФБР получава съобщения за нея от август 2021 г., съобщи CNN.
Пакетите на атакуващите съдържат препоръки за Covid-19, фалшиви подаръчни карти или благодарствени писма, в зависимост от чие име са изпратени. Ако получателят е неблагоразумен да включат непровереното флаш устройство в компютъра си, това отприщва кибератака.
Самото устройство се регистрира в системата като HID клавиатура, от която автоматично се въвеждат команди за инсталиране на злонамерени компоненти в компрометираните системи. Крайната цел на атакуващите е да получат достъп до цялата локална мрежа и да инсталират рансъмуер, където е възможно.
Използват се широк набор от инструменти за компрометиране на мрежата, вкл. Metasploit, CobaltStrike, Carbanak, бекдор Griffon и скриптове PowerShell. В крайна сметка на жертвите бива инсталиран рансъмуер от рода на BlackMatter и REvil.
Не за първи път FIN7 провежда подобна кампания. В началото на 2020 г. същата група разпространи злонамерени пакети от името на търговеца на електроника BestBuy. Заразените флашки бяха изпратени до хотели, ресторанти и други търговски вериги. Жертвите получаваха обаждания или имейли от атакуващите с призив бързо да свържат флашките към своите системи.
През май 2020 г. FIN7 започна да добавя плюшени мечета към пакетите си, очевидно за да отклони подозрението. Кибербандата се смята за една от най-успешните в света. Повечето от жертвите ѝ са големи търговски структури в Съединените щати.
Преди четири години в Дрезден беше задържан и по-късно екстрадиран в САЩ Фьодор Гладир, гражданин на Украйна. В обвинението той е посочен като един от лидерите на FIN7, участвал пряко в нейните атаки. Гладир сключи сделка с разследването и частично се призна за виновен, а през 2021 г. беше осъден във Вашингтон на 10 години затвор.
Освен него, в Полша и Испания бяха задържани други двама предполагаеми участници във FIN7, които също са украински граждани: Дмитрий Федоров и Андрей Колпаков. И двамата бяха екстрадирани в САЩ, припомнят руски медии.
В материалите на Министерството на правосъдието на САЩ се споменава дело срещу друг предполагаем участник във FIN7, Денис Ярмак, гражданин на Украйна. Той беше арестуван през 2020 г. по искане на САЩ в Тайланд. Процесът срещу него започна в края на юли 2020 г., но ще продължи едва през септември 2022 г.
Така в ръцете на американското правосъдие попаднаха четирима участници във FIN7, двама от които вече са осъдени, но няма признаци, че активността на групата намалява.