USB-Sticks mit Ransomware im realen Postfach zu haben ist ein ungewöhnliches, auch wenn nicht unrealistisches Szenario. In der Vergangenheit haben sich viele Unternehmen mit unterschiedlichen Maßnahmen auf diesen Fall vorbereitet. Ein aktueller Fall zeigt, dass auch dieses Bedrohungsszenario noch nicht ad-acta gelegt werden kann.
Die Rüstungsindustrie in den vereinigten Staaten ist riesig. Einige Pakete, getarnt als Geschenkbox oder Covid-19 Leitlinie, wurden zugestellt. Enthalten waren USB-Sticks mit Malware. Der Weg der Technik ist dabei nicht besonders innovativ.
USB-Sticks mit Ransomware melden sich als Tastatur am System an
Im Grunde steckt hinter dem Angriff ein BadUSB-Stick mit großen Aspekten einer ausgefeilten Social Engineering Kampagne. So werden die Pakete nicht anonym, sondern im Namen des US Department of Health and Human Services (HHS) versendet. Auch ist der USB-Stick nicht der einzige Inhalt. Die schadhafte Hardware wird von anderen Schreiben und Informationen begleitet. Die Empfänger wurden mit den Paketen nicht alleingelassen. Zahlreiche Anrufe wurden getätigt, um das Einstecken des USB-Sticks zu forcieren. Dabei ist der Angriff längst nicht neu.
Sobald sich ein Empfänger dazu entscheidet, einen der USB-Sticks mit Ransomware anzuschließen, melden sich diese als USB-Tastatur am System an. So wird Tür und Tor für Eingaben geöffnet, die sonst mit zahlreichen Maßnahmen verhindert werden sollen. Auch das Sperren bzw. Verbieten von USB-Speichermedien hilft an der Stelle nicht.
Erlaubte Geräte sollten bestimmt werden. Die entsprechenden Hardware-IDs lassen sich dann nach dem Whitelisting-Prinzip erlauben. Attacken sind nur dann technisch möglich, wenn der Angreifer wissen über die eingesetzte Hardware hat. Eine sorgfältige Prüfung eines Inhouse-Teams macht bei entsprechender Größe des Unternehmens auch Sinn.
Angriff mit USB-Sticks ist nicht neu – der Kontext wurde jedoch angepasst
Wer Angriffe in der Szene beobachtet, den kommt der Einsatz von USB-Sticks mit Ransomware nicht neu vor. Die FIN7 Gruppe ist sehr kreativ und gerade durch den Einsatz von Phishing-Attacken zur Verteilung und Aktivierung mit Schadsoftware bekannt.
So wird der Gruppe bereits eine Welle von Attacken ähnlicher Sorte zugeschrieben. Damals jedoch im Namen von BestBuy, einem US-Elektronikhändler in den Staaten. Auch die Zielgruppe hat sich geändert. Damals waren es eher Hotels und Restaurants.