Sprer skadevare ved å sende ut USB-pinner til bedrifter

FBI og sikkerhetseksperter advarer.

Sprer skadevare ved å sende ut USB-pinner til bedrifter
Se opp for ukjente og/eller mistenkelige USB-pinner i posten. Foto: Colourbox/17032185

Skadevare-aktører utviser stor kreativitet i sitt arbeid, og nå advares det mot en ny variant det kan være nyttig å være bevisst på – særlig om man driver bedrift.

Sikkerhetsselskapet Recorded Future rapporterer at hackere nå har begynt å sende ut USB-pinner til bedrifter i et forsøk på å infisere dem med skadevare-programmer – deriblant de beryktede løsepengevirusene.

FBI med advarsel

Selskapet startet sin egen etterforskning etter at det amerikanske etterforskningsbyrået FBI kom med en advarsel mot fenomenet tidligere denne måneden. Det er den fryktede hackergruppen FIN7 som skal stå bak det nye fremstøtet.

FIN7 skal ifølge etterforskningsbyrået ha hatt tilknytning til de destruktive løsepengevirus-operasjonene kjent som Darkside og Blackmatter.

Hackerne skal ha sendt ut USB-pinner til en rekke bedrifter i blant annet transport-, forsikrings- og forsvarsindustrien i USA. Pinnene utfører et såkalt BadUSB-angrep straks de kobles til en PC.

Angrepet utføres ved at USB-pinnen registrerer seg selv som et tastatur idet den plugges inn, noe som brukes til å gjennomføre et tastetrykkinjeksjonsangrep (keystroke injection). Dette er et automatisert angrep som innebærer å etterligne kommandoer som skrives på tastaturet og som utnytter tilliten Windows har til USB-tastaturer.

Disse kommandoene brukes til å laste ned og installere andre typer ondsinnet programvare på offerets datamaskin. Ifølge FBI har ofre blitt infisert med blant annet de beryktede løsepengevirusene Blackmatter og Revil på denne måten, og programvaren omfatter også RAT-programmer (remote access trojan).

Unngår vanlige sikkerhetstiltak

I tilfellene som er registrert hittil, fremstår pakkene som USB-pinnene kommer i ofte som legitime pakker fra det amerikanske helsedepartementet og kommer sammen med brev relatert til Covid-19. 

Noen av pakkene er også av mer kommersiell art og utgir seg for være fra nettbutikken Amazon. I disse pakkene akkompagneres USB-pinnene gjerne med gavekort og takkebrev.

Recorded Future peker på at det er noen klare fordeler med å bruke USB-baserte-angrep fremfor de tradisjonelle metodene, sett fra hackernes perspektiv.

– Taktikkene og teknikkene involvert i trojaniserte USB-angrep setter FIN7-aktørene i stand til å unngå mange av beskyttelsene på nettverks- og endpointnivå ved å gå bort fra skadevare-overføring over nettverket, minimere bruken av filer på disk og ved bruk av flere lag med koding av skadevarens skript og kjørbare kode, skriver sikkerhetsforskerne. 

Det er uvisst i hvilken grad den USB-baserte angrepsmetoden er utbredt i andre regioner enn Nord-Amerika, men med tanke på at hackevirksomheter har en tendens til å ekspandere globalt, er det nok uansett verdt å merke seg dette.

Flere tekniske detaljer kan du finne i Recorded Futures egen rapport.

Les også