Image: Brina Blum
Le Federal Bureau of Investigation (FBI) a averti les entreprises américaines dans une alerte flash récemment mise à jour que le groupe cybercriminel FIN7 à motivation financière ciblait l’industrie de la défense américaine avec des packages contenant des périphériques USB malveillants pour déployer des ransomwares.
Les attaquants ont envoyé des colis contenant des appareils « BadUSB » ou « Bad Beetle USB » avec le logo LilyGO, couramment disponibles à la vente sur Internet.
Ils ont utilisé le United States Postal Service (USPS) et United Parcel Service (UPS) pour envoyer par courrier électronique les colis malveillants aux entreprises des secteurs des transports et des assurances depuis août 2021 et aux entreprises de défense à partir de novembre 2021.
BlackMatter ou REvil ransomware déployé sur les réseaux violés
Les opérateurs de FIN7 ont usurpé l’identité d’Amazon et du département américain de la Santé et des Services sociaux (HHS) pour inciter les cibles à ouvrir les colis et à connecter les clés USB à leurs systèmes.
Depuis août, des rapports reçus par le FBI indiquent que ces paquets malveillants contiennent également des lettres sur les directives COVID-19 ou des cartes-cadeaux contrefaites et des notes de remerciement falsifiées, selon l’entité usurpée.
Une fois que les cibles ont branché la clé USB sur leurs ordinateurs, elle s’enregistre automatiquement en tant que clavier HID (Human Interface Device) (lui permettant de fonctionner même avec des périphériques de stockage amovibles désactivés).
Il commence ensuite à injecter des frappes au clavier pour installer des charges utiles de logiciels malveillants sur les systèmes compromis.
L’objectif final de FIN7 dans de telles attaques est d’accéder aux réseaux des victimes et de déployer des ransomwares (y compris BlackMatter et REvil) au sein d’un réseau compromis à l’aide de divers outils, notamment Metasploit, Cobalt Strike, le malware Carbanak, la porte dérobée Griffon et les scripts PowerShell.
Malware poussé à l’aide d’ours en peluche
Ces attaques font suite à une autre série d’incidents que le FBI a mis en garde il y a environ deux ans lorsque les opérateurs de FIN7 se sont fait passer pour Best Buy et ont envoyé des colis similaires avec des clés USB malveillantes via USPS aux hôtels, restaurants et commerces de détail.
Des informations faisant état de tels attaquants ont commencé à faire surface en février 2020. Certaines des cibles ont également signalé que les pirates avaient envoyé un e-mail ou appelé pour les forcer à connecter les disques à leurs systèmes.
À partir de mai 2020 au moins, les colis malveillants envoyés par FIN7 comprenaient également des éléments tels que des ours en peluche conçus pour amener les cibles à baisser leur garde.
Les attaques telles que celles tentées par FIN7 sont connues sous le nom d’attaques HID ou USB drive-by, et elles ne peuvent réussir que si les victimes sont disposées ou trompées à brancher des périphériques USB inconnus sur leurs postes de travail.
Les entreprises peuvent se défendre contre de telles attaques en permettant à leurs employés de connecter uniquement des périphériques USB en fonction de leur identifiant matériel ou s’ils sont contrôlés par leur équipe de sécurité.