Ciberdelincuentes están enviando USBs maliciosas para desplegar ransomware

Según el FBI, las bandas de ransomware están utilizando técnicas antiguas pero efectivas para atacar. Estas están enviando por correo unidades USB maliciosas, haciéndose pasar por el Departamento de Salud y Servicios Humanos de Estados Unidos y/o Amazon. El objetivo es atacar a las industrias de transporte, seguros y defensa para la infección de ransomware, advirtió el FBI el viernes.

En una alerta de seguridad enviada a las organizaciones, el FBI dijo que FIN7, también conocido como Carbanak o Navigator Group, está empleando este método.  FIN7 es una malévola banda de delitos cibernéticos con motivación financiera detrás del malware de puerta trasera Carbanak. 

FIN7 ha existido desde al menos 2015. Inicialmente, la banda se ganó la reputación al mantener el acceso persistente a las empresas objetivo con su malware de puerta trasera personalizado y al apuntar a los sistemas de puntos de venta (PoS) con software skimmer. Suele orientarse a restaurantes informales , casinos y hoteles. Sin embargo, en 2020, FIN7 también entró en el juego del ransomware/exfiltración de datos. Sus perversas actividades involucraron a REvil o Ryuk como payload.

El FBI dijo que en los últimos meses, FIN7 envió dispositivos USB maliciosos a empresas estadounidenses. La banda tenía la esperanza de que alguien conectara las unidades, infectara los sistemas con malware y así  configurarlas para futuros ataques de ransomware.

“Desde agosto de 2021, el FBI recibió informes de varios paquetes que contenían estos dispositivos USB. Estos fueron enviados a empresas estadounidenses en las industrias de transporte, seguros y defensa”.

Ataques con USBs maliciosas enviadas por Correo Postal

“Los paquetes se enviaron utilizando el Servicio Postal de los Estados Unidos y United Parcel Service (UPS)”, agregó el FBI.

Los atacantes ocultaron los paquetes disfrazándolos como relacionados con la pandemia o como obsequios de Amazon. “Hay dos variaciones de paquetes: los que imitaban al servicio de salud a menudo iban acompañados de letras que hacían referencia a las pautas de COVID-19 adjuntas con una USB. Asimismo, los que imitaban a Amazon llegaron en una caja de regalo decorativa que contenía una carta de agradecimiento fraudulenta, una tarjeta de regalo falsificada y una USB”.

De cualquier manera, los paquetes contenían dispositivos USB de la marca LilyGO.

Si los objetivos cayeron por todo el oropel y la pompa y conectaron las memorias USB, los dispositivos ejecutaron un ataque BadUSB. Los ataques de BadUSB explotan una vulnerabilidad inherente en el firmware USB. La vulnerabilidad permite a los ciberdelincuentes reprogramar un dispositivo USB para que pueda actuar como un dispositivo de interfaz humana. Es decir,  funciona como un teclado USB malicioso precargado con pulsaciones de teclas ejecutadas automáticamente. Después de la reprogramación, la USB se puede usar para ejecutar comandos discretamente o ejecutar programas maliciosos en la computadora de la víctima.

Ni los ataques BadUSB ni el uso que hace FIN7 de ellos son nuevos. En 2020, el equipo de investigación de seguridad cibernética de Trustwave SpiderLabs descubrió inicialmente que estos ataques a unidades de memoria USB se habían enviado a algunos de sus clientes. Los dispositivos maliciosos habían sido enviados de manera similar en paquetes que se hacían pasar por Amazon y HHS. Este último ataque es una copia de carbón del ataque de 2020, cuando el FBI emitió de manera similar una alerta pública que nombró a FIN7 como el culpable.

Cómo vencer los ataques de BadUSB

Uno pensaría que la forma segura de protegerse de los ataques provocados por los dispositivos USB maliciosos que despliegan malware esparcidos por los pasillos, los estacionamientos o por correo postal sería muy simple.  Muchos piensan que basta con no conectarlas. Sentido común en su máxima expresión. Sin embargo, estudio tras estudio ha demostrado que la curiosidad o el altruismo (“¡Averiguaré de quién es esto para poder devolverlo!”) mata al gato y desencadena la adquisición del sistema.

Aún así, al menos tienes que tratar de convencer a la gente de su curiosidad y/o buenos modales para conectar la USB. Karl Sigler, gerente senior de investigación de seguridad de Trustwave SpiderLabs, dijo que la capacitación continua sobre seguridad “debe incluir este tipo de ataque y advertir contra la conexión de cualquier dispositivo extraño a tu computadora”.

El software de protección de punto final también puede ayudar a prevenir estos ataques, y elimina la curiosidad.

Estos ataques son provocados por una memoria USB que emula un teclado USB. Por lo tanto, un software de protección de punto final que puede monitorear el acceso a las shells de comando debería solucionar la mayoría de los problemas. 

Para los sistemas críticos que no requieren accesorios USB, los bloqueadores de puertos USB físicos y basados ​​en software también pueden ayudar a prevenir este ataque. 

CAP

Por su parte, el Grupo ACA acuñó el acrónimo “CAPs” para referirse al análisis estándar que todas las organizaciones deberían implementar activamente para prevenir un ataque de ransomware. CAP se refiere a la Configuración, Acceso y la aplicación de Parches. Asimismo, la concienciación y la educación de los empleados también se consideran críticas. CAP significa:

• Gestión de la Configuración: debes reducir la cantidad de puntos de entrada que un atacante podría usar para obtener acceso a tu sistema. Muchos ataques tienen éxito porque hay configuraciones incorrectas en los dispositivos de seguridad, configuraciones en la nube, etc.

• Acceso: tienes que reducir la cantidad de puntos de acceso internos para un atacante que haya ingresado a tu sistema.
  
• Aplicación de Parches: debes reducir las posibilidades de que se produzca un ataque a través de un punto de entrada o desconocido. Esta es una base para solucionar vulnerabilidades de seguridad y otros errores.