Los piratas informáticos utilizan BadUSB para atacar a las empresas de defensa con ransomware

Imagen: Brina Blum

La Oficina Federal de Investigaciones (FBI) advirtió a las empresas estadounidenses en una advertencia flash actualizada recientemente que el grupo de ciberdelincuentes FIN7, con motivaciones financieras, se ha dirigido a la industria de defensa estadounidense con paquetes que contienen dispositivos USB maliciosos para distribuir ransomware.

Los atacantes enviaron paquetes que contenían dispositivos "BadUSB" o "Bad Beetle USB" con el logotipo de LilyGO, comúnmente disponibles para la venta en Internet.

Utilizaron el Servicio Postal de los Estados Unidos (USPS) y United Parcel Service (UPS) para enviar por correo electrónico los paquetes maliciosos a empresas de los sectores de transporte y seguros desde agosto de 2021 y a empresas de defensa a partir de noviembre de 2021.

Índice de contenidos
  1. BlackMatter o REvil ransomware distribuido en redes pirateadas
  2. Malware impulsado con ositos de peluche

BlackMatter o REvil ransomware distribuido en redes pirateadas

Los operadores de FIN7 se hicieron pasar por Amazon y el Departamento de Salud y Servicios Humanos de EE. UU. (HHS) para engañar a los objetivos para que abran paquetes y conecten unidades USB en sus sistemas.

Desde agosto, los informes recibidos por el FBI afirman que estos paquetes maliciosos también contienen cartas de directrices COVID-19 o tarjetas de regalo falsificadas y notas de agradecimiento falsificadas, según la entidad de la que se haga pasar.

Después de que los objetivos conectan la unidad USB a sus computadoras, se registra automáticamente como un teclado de Dispositivo de interfaz humana (HID) (lo que le permite funcionar incluso con los dispositivos de almacenamiento extraíbles apagados).

Luego comienza a inyectar pulsaciones de teclas para instalar cargas útiles de malware en sistemas comprometidos.

El objetivo final de FIN7 en tales ataques es acceder a las redes de las víctimas y distribuir ransomware (incluidos BlackMatter y REvil) dentro de una red comprometida utilizando varias herramientas, que incluyen Metasploit, Cobalt Strike, malware Carbanak, puerta trasera Griffon y script PowerShell.

Malware impulsado con ositos de peluche

Estos ataques siguen a otra serie de incidentes que el FBI advirtió hace dos años, cuando los operadores de FIN7 fingieron ser Best Buy y enviaron paquetes similares con unidades flash maliciosas a través de USPS a hoteles, restaurantes y negocios.

Los informes de tales atacantes comenzaron a aparecer en febrero de 2020. Algunos de los objetivos también informaron que los piratas informáticos les enviaron correos electrónicos o llamaron para presionarlos para que vinculen las unidades a sus sistemas.

Desde al menos mayo de 2020, los paquetes maliciosos enviados por FIN7 también incluían elementos como osos de peluche diseñados para engañar a los objetivos para que bajen la guardia.

Los ataques como los intentados por FIN7 se conocen como ataques HID o USB drive-by y solo pueden tener éxito si las víctimas están dispuestas o engañadas para conectar dispositivos USB desconocidos a sus estaciones de trabajo.

Las empresas pueden defenderse de estos ataques al permitir que sus empleados conecten solo dispositivos USB en función de su ID de hardware o si están controlados por su equipo de seguridad.

Descubre más contenido

Subir Change privacy settings