Группировка хакеров FIN7 под видом подарков отправляла сотрудникам крупных компаний зараженные флеш-накопители. Об этом сообщает портал The Record со ссылкой на документы ФБР.
Подарки были отправлены от имени Министерства здравоохранения и социальных служб США и сопровождались письмами с рекомендациями по борьбе с COVID-19. В некоторых случаях хакерские посылки были замаскированы под подарочное отправление от Amazon с поддельными поздравительным письмом и подарочной картой.
После подключения флешки к компьютеру устройство выполняло атаку BadUSB, в ходе которой хакеры могли получить административный доступ к ПК и другим локальным системам. После этого злоумышленники удаленно устанавливали и запускали вымогательское ПО BlackMatter и REvil в скомпрометированной сети.
Руководитель отдела продвижения продуктов компании «Код Безопасности» Павел Коростелев в беседе с «Газетой.Ru» отметил, что зараженные USB-накопители – актуальный вектор несанкционированного проникновения в сеть.
По его словам, хакер может не только взломать ПК жертвы и проникать в сеть, но и сломать компьютер.
«Это может быть жестокая шутка, так называемый USB-киллер. Злоумышленник немного изменяет накопитель — так, чтобы он создавал короткое замыкание при подключении и выжигал материнскую плату», – объяснил Коростелев.
Он отметил, что речь идет главным образом о подарочных флешках, которую уже достали из заводской упаковки.
«Если вам дарят флеш-накопитель, самым правильным будет начать с его форматирования. Если мы говорим о USB-накопителях в невскрытой упаковке, то в принципе им можно доверять. Риск попадания зараженных носителей на прилавки крупных магазинов не очень большой, однако опасность все равно есть, если устройство идет «мимо» торговых сетей», – рассказал эксперт.
По мнению директора по развитию web-технологий компании Artezio (входит в группу ЛАНИТ) Сергея Матусевича, не только подаренные, но и приобретенные в рознице флешки могут содержать опасные программы.
«Вредоносное ПО вполне может быть среди программ, которые производитель флеш-накопителя предлагает пользователям «из коробки». Проблема в том, что производитель не всегда может проконтролировать процесс заводской записи носителей. Как правило, современные флешки уже с завода содержат небольшой пакет программных приложений, которые могут оказаться полезными покупателям. И в этот пакет на стадии заводской записи может быть добавлен код или специальное приложение», – объяснил Матусевич.
По его словам, при покупке USB-накопителя стоит ориентироваться только на крупные, известные бренды, которые дорожат репутацией. «No name» флешки же несут гораздо больше рисков для пользователей — на них может быть установлен майнер или другое вредоносное ПО.
«Полученную в подарок от незнакомого человека флешку стоит проверять в безопасном режиме или другой песочнице. Безопасный режим можно включить при перезагрузке компьютера. Способ активации этой функции может быть разным для разных моделей. Также флешки стоит проверять антивирусом. И внимательно просматривать расширения и названия файлов. С осторожностью стоит отнестись и к зашифрованным архивам, так как они могут также иметь автозапуск файлов при распаковке», – советует эксперт лаборатории практического анализа защищенности центра информационной безопасности компании «Инфосистемы Джет» Екатерина Рудая.
При этом заместитель руководителя Лаборатории компьютерной криминалистики Group-IB Роман Резвухин отметил, что обычный пользователь не сможет самостоятельно понять, заражен флеш-накопитель или нет — настройки по умолчанию не позволят увидеть скрытые файлы.
По сообщению сайта Газета.ru