Offensive Services

USB-Sticks mit Ransomware – FIN7 Hackergruppierung nutzt Hardware!

Aktualisiert am

USB-Sticks mit Ransomware im realen Postfach zu haben ist ein ungewöhnliches, auch wenn nicht unrealistisches Szenario. In der Vergangenheit haben sich viele Unternehmen mit unterschiedlichen Maßnahmen auf diesen Fall vorbereitet. Ein aktueller Fall zeigt, dass auch dieses Bedrohungsszenario noch nicht ad-acta gelegt werden kann.

Die Rüstungsindustrie in den vereinigten Staaten ist riesig. Einige Pakete, getarnt als Geschenkbox oder Covid-19 Leitlinie, wurden zugestellt. Enthalten waren USB-Sticks mit Malware. Der Weg der Technik ist dabei nicht besonders innovativ.

USB-Sticks mit Ransomware melden sich als Tastatur am System an

Im Grunde steckt hinter dem Angriff ein BadUSB-Stick mit großen Aspekten einer ausgefeilten Social Engineering Kampagne. So werden die Pakete nicht anonym, sondern im Namen des US Department of Health and Human Services (HHS) versendet. Auch ist der USB-Stick nicht der einzige Inhalt. Die schadhafte Hardware wird von anderen Schreiben und Informationen begleitet. Die Empfänger wurden mit den Paketen nicht alleingelassen. Zahlreiche Anrufe wurden getätigt, um das Einstecken des USB-Sticks zu forcieren. Dabei ist der Angriff längst nicht neu.

Sobald sich ein Empfänger dazu entscheidet, einen der USB-Sticks mit Ransomware anzuschließen, melden sich diese als USB-Tastatur am System an. So wird Tür und Tor für Eingaben geöffnet, die sonst mit zahlreichen Maßnahmen verhindert werden sollen. Auch das Sperren bzw. Verbieten von USB-Speichermedien hilft an der Stelle nicht.

Erlaubte Geräte sollten bestimmt werden. Die entsprechenden Hardware-IDs lassen sich dann nach dem Whitelisting-Prinzip erlauben. Attacken sind nur dann technisch möglich, wenn der Angreifer wissen über die eingesetzte Hardware hat. Eine sorgfältige Prüfung eines Inhouse-Teams macht bei entsprechender Größe des Unternehmens auch Sinn.

Angriff mit USB-Sticks ist nicht neu – der Kontext wurde jedoch angepasst

Wer Angriffe in der Szene beobachtet, den kommt der Einsatz von USB-Sticks mit Ransomware nicht neu vor. Die FIN7 Gruppe ist sehr kreativ und gerade durch den Einsatz von Phishing-Attacken zur Verteilung und Aktivierung mit Schadsoftware bekannt.

So wird der Gruppe bereits eine Welle von Attacken ähnlicher Sorte zugeschrieben. Damals jedoch im Namen von BestBuy, einem US-Elektronikhändler in den Staaten. Auch die Zielgruppe hat sich geändert. Damals waren es eher Hotels und Restaurants.

Foto des Autors

Vincent Reckendrees

Hallo, ich bin Vincent Reckendrees und leite das Team Offensive Services bei der AWARE7 GmbH. In meinem Bachelor und Master Studium habe ich mich auf IT-Sicherheit spezialisiert und BSI zertifizierter IS-Penetrationstester. Meine Leidenschaft gilt Reverse Engineering, Hardware- und Web-Sicherheit. Als Experte für Penetrationstests finde ich Schwachstellen in Systemen und Netzwerken und nutze sie, um realistische Cyberangriffe zu simulieren und Sicherheitsmaßnahmen zu verbessern. Durch Reverse Engineering entdecke ich Fehler und Verbesserungsmöglichkeiten in Software und Hardware. Meine Fähigkeiten in Hardware- und Web-Sicherheit ermöglichen es mir, physische Geräte und Online-Plattformen vor einer Vielzahl von Cyberbedrohungen zu schützen und ihre Integrität und Zuverlässigkeit zu gewährleisten.