Red Hot Cyber
La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed
incentiva gli altri a fare meglio di te.
Menu
La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed
incentiva gli altri a fare meglio di te.
Redazione RHC : 9 Gennaio 2022 19:51
Il gruppo di criminali informatici FIN7 ha inviato negli ultimi mesi dispositivi USB dannosi ad aziende statunitensi per infettare i loro sistemi informatici con il ransomware. Lo ha riferito The Record, che aveva una copia dell’avvertimento dell’FBI.
Supporta Red Hot Cyber attraverso
“Dall’agosto 2021, l’FBI ha ricevuto segnalazioni di diversi pacchi contenenti questi dispositivi USB che sono stati inviati alle imprese di trasporto, assicurazioni e difesa degli Stati Uniti. I pacchi sono stati inviati tramite il servizio postale degli Stati Uniti e lo United Parcel Service”
afferma l’avviso dell’FBI.
In totale, i criminali hanno inviato due tipi di pacchi. Alcuni sarebbero stati inviati dal Dipartimento della salute e dei servizi umani degli Stati Uniti ed erano accompagnati da lettere con collegamenti a raccomandazioni sul tema dell’infezione da coronavirus (COVID-19) allegate alle unità USB.
Altri pacchetti erano camuffati da pacchi Amazon in una confezione regalo decorativa contenente una falsa lettera di ringraziamento, una carta regalo falsa e il dispositivo USB. In entrambi i casi, i pacchetti contenevano dispositivi USB a marchio LilyGO.
Quando il destinatario ha collegato l’unità USB al proprio computer, il dispositivo ha eseguito un attacco BadUSB.
La chiavetta USB LilyGO (che ha differenza della famosa Rubber Duky è meno potente ma a costi molto più bassi) si registra come tastiera e può inviare una serie di battiture automatiche preconfigurate al PC dell’utente.
Quindi una volta inserita ha lanciato i comandi di PowerShell che hanno scaricato e installato vari tipi di malware. In questo modo, i criminali informatici hanno ottenuto l’accesso amministrativo e quindi si sono spostati su altri sistemi locali.
I membri di FIN7 hanno quindi utilizzato vari strumenti, tra cui Metasploit, Cobalt Strike, script PowerShell, Carbanak, GRIFFON, DICELOADER, TIRION, e hanno eseguito BlackMatter e REvil ransomware sulla rete compromessa.
Ricordiamo che il gruppo ha già organizzato campagne dannose simili.
Nel 2020, FIN7 ha inviato pacchi di buoni regalo e peluche alle sue vittime. I pacchetti contenevano anche unità flash USB, che, dopo essere state collegate a un computer, infettavano il sistema con la backdoor GRIFFON.
RedazioneRedazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009
