Hackers van de FIN7-groep sturen USB-sticks met in ogenschijnlijk onschuldige bestanden verpakte malware naar bedrijven. Deze BadUSB-aanvallen zijn erop gericht ransomware te installeren.

Volgens The Record heeft de Amerikaanse veiligheidsdienst FBI onlangs bedrijven gewaarschuwd voor zogenoemde BadUSb-aanvallen. Sinds augustus 2021 zouden verschillende bedrijven anonieme USB-sticks via de post hebben ontvangen. Op deze USB-sticks lijken bijvoorbeeld Covid-protocollen van het Amerikaanse ministerie van Gezondheid te staan.

FIN7-groep

De verzenders van de USB-sticks zijn de hackers van de zogenoemde FIN7-groep. Deze groep wordt onder meer verantwoordelijk gehouden voor de Darkside- en BlackMatter-ransomware-aanvallen. De hackers richtten zich in hun acties vooral op Amerikaanse bedrijven in de transport-, de verzekerings- en defensiesectoren.

USB-sticks met malware

De kwaadaardige USB-sticks zijn vooral van het merk LILYGO en gemanipuleerd zodat zij een toetsenbord simuleerden. Dit toetsenbord voerde daarna voorgeprogrammeerde toetsaanslagen en commando’s uit die malware installeerden voordat het OS is opgestart. Hierdoor werd malware geïnstalleerd die het exploiteren van pc’s en de installatie van andere malware mogelijk maakt.

De ransomware die de USB-sticks verspreiden, zijn vooral de ‘soorten’ Blackmatter en REvil. Kwaadaardige tools die worden verspreid en geïnstalleerd zijn onder meer Metasploit, Cobalt Strike, PowerShell scripts, Carbanak, GRIFFON, DICELOADER en TIRION.