I criminali informatici evolvono costantemente le tattiche, le tecniche e le procedure che utilizzano per eseguire attacchi e sono alla costante ricerca di modi innovativi per aggirare o eludere i controlli di sicurezza. A volte, però, la strategia migliore è la più semplice e può rivelarsi efficace nel cogliere di sorpresa le potenziali vittime.
Un nuovo annuncio dell’FBI avverte le aziende (statunitensi, in particolare, ma la minaccia è reale ed espone a possibili attacchi le organizzazioni di tutto il mondo) di prepararsi a rispondere a una vecchia tattica che sembra essere tornata in voga: indurre gli utenti ad inserire un dispositivo USB dannoso contenente un malware nel proprio computer.
Indice degli argomenti
Malware nei dispositivi USB: ecco di cosa si tratta
Secondo l’FBI, gli attori di questa minaccia hanno preso di mira le aziende nei settori della difesa, dei trasporti e delle assicurazioni nell’ultima metà del 2021, inviando chiavette USB alle aziende nel loro mirino.
I criminal hacker – identificati come il gruppo di criminali informatici soprannominato FIN7 – hanno utilizzato il servizio postale degli Stati Uniti e UPS per inviare lettere e pacchetti che sembravano provenire dal Dipartimento Health and Human Services (HHS), o – in alcuni casi – da Amazon. Le consegne includevano una chiavetta USB contenente software maligno, come BadUSB.
Le informazioni condivise dall’FBI indicano che i pacchetti sono stati progettati per sembrare regali e note di ringraziamento. È probabile che gli attori dietro a questa minaccia abbiano fatto un po’ di ricerca e abbiano cercato di aumentare le loro probabilità di successo personalizzando il messaggio in base all’azienda o all’individuo ai quali hanno inviato questi pacchetti contenenti le USB infette.
Per rendere la truffa più credibile, il gruppo FIN7 spesso invia una e-mail o addirittura telefona ai destinatari delle USB impersonando il mittente dei pacchetti.
I dettagli del malware BadUSB
BadUSB è un tipo di malware che registra immediatamente il dispositivo sul sistema come una tastiera HID (Human Interface Device). Questo piccolo trucco permette al dispositivo USB dannoso di funzionare anche se il sistema ha una policy che disabilita l’uso di dispositivi di archiviazione rimovibili.
L’USB dannoso usa la sua designazione come “tastiera” per eseguire sequenze di tasti sul sistema che permettono di installare altri exploit e payload sul sistema compromesso. Un report di BleepingComputer spiega: “L’obiettivo finale di FIN7 in questi attacchi è quello di accedere alle reti delle vittime e distribuire ransomware (tra cui BlackMatter e REvil) all’interno di una rete compromessa utilizzando vari strumenti, tra cui Metasploit, Cobalt Strike, malware Carbanak, la backdoor Griffon e script PowerShell”.
La scelta di riesumare la tattica di consegnare USB infette potrebbe essere motivata dal fatto che la maggioranza delle aziende continua a operare in smart working. Consegnando unità flash USB direttamente a casa di un dipendente, i criminali informatici aumentano le probabilità che un utente la colleghi al proprio computer personale, spesso connesso alla stessa rete domestica alla quale è connesso il computer aziendale.
Una volta infiltrata la rete domestica, il malware può compromettere il network aziendale e raggiungere server critici.
È anche possibile che ci siano organizzazioni che utilizzano abitualmente chiavette USB, ad esempio per lo scambio di tati interni: ciò renderebbe più probabile che, ricevendone uno per posta, i dipendenti colleghino un dispositivo di archiviazione USB senza trovarlo sospetto.
Quello che importa ai criminali informatici è di ottenere un punto d’appoggio che, anche se non si tratta di un account admin, possa permettere loro di accedere ad altri account con accesso ad aree più critiche del network aziendale. Una volta all’interno della rete, gli attori ransomware possono condurre una ricognizione che può aiutare a ottenere l’accesso ad altri sistemi.
Nuova tecnica per la diffusione di ransomware?
Il fatto che FIN7 abbia scelto di utilizzare una tattica così obsoleta è sospetto. Ci dovremmo chiedere se si tratti di un depistaggio o una messa in scena per distogliere l’attenzione da un attacco più ampio e più sofisticato.
Anche gli utenti medi dovrebbero sapere che non si deve collegare al proprio computer una chiavetta USB ricevuta per posta da un mittente sconosciuto.
È vero anche che se professionisti dell’IT e della cyber security sanno di non dovere inserire dispositivi come chiavette USB trovate in giro, l’utente medio potrebbe non essere così prudente. Questo è ancora più vero se la persona è convinta che il pacchetto provenga da una fonte credibile oppure che si tratti di un’offerta come una gift card in grado di “scatenare” una risposta istintiva da parte della potenziale vittima dell’attacco.
Ci sono comunque parecchi vettori di attacco più efficaci che non si basano su una campagna potenzialmente rintracciabile e che richiede agli attori ransomware di esporsi così tanto.
È difficile immaginare uno scenario in cui la maggior parte delle persone utilizzi una chiavetta USB ricevuta per posta. Sarebbe stato più plausibile se i criminali informatici avessero inviato un dispositivo come un mouse USB o qualche altro tipo di gadget, che probabilmente avrebbe avuto molto più successo solo in virtù del fatto di essere nuovo.
Il quadro d’insieme
FIN7 è un sofisticato attore di minacce – ecco perché questa campagna sembra un grande depistaggio. Ovviamente non si dovrebbe mai inserire un dispositivo USB sconosciuto nel proprio PC, sia che si tratti di uno ricevuto casualmente per posta, o anche di un dispositivo USB di cui non si conosce l’ultimo utilizzo.
Al di là di questo, però, è necessario prestare attenzione al quadro generale quando si tratta di attacchi informatici. Sia che gli attaccanti riescano ad ottenere un punto d’appoggio utilizzando una chiavetta USB dannosa, o che usino la consegna di una chiavetta USB come distrazione da un diverso vettore di attacco, è necessario essere in grado di visualizzare l’intera operazione dannosa – o MalOp – nel proprio ambiente e riconoscere gli Indicators of Behaviour (IOB) che consentono di identificare e fermare rapidamente le attività degli attori ransomware.