美國聯(lián)邦調查局周五警告說，勒索軟件團伙正在郵寄惡意的U盤，冒充美國衛(wèi)生與公眾服務部(HHS)和亞馬遜集團，針對運輸、保險和國防行業(yè)進行勒索軟件感染攻擊。

聯(lián)邦調查局在發(fā)給各個組織的安全警報中說，F(xiàn)IN7--又名Carbanak或Navigator Group，是使用Carbanak后門惡意軟件進行攻擊的網絡犯罪團伙，其攻擊經常以獲取經濟利益為目的。

FIN7從2015年就已經開始存在了。最初，該團伙通過使用其定制的后門惡意軟件來維持對目標公司的持續(xù)訪問權限，以及使用間諜軟件來針對銷售點(PoS)系統(tǒng)進行攻擊而逐漸為民眾所熟知。它的攻擊目標往往是休閑餐廳、賭場和酒店。但在2020年，F(xiàn)IN7也開始涉足勒索軟件以及游戲領域，其攻擊活動經常會使用REvil或Ryuk作為有效攻擊載荷。

聯(lián)邦調查局說，在過去的幾個月里，F(xiàn)IN7將惡意的USB設備郵寄給美國公司，希望有人能夠把它插到驅動器上，然后利用惡意軟件來感染系統(tǒng)，從而為以后的勒索軟件攻擊做好準備。

聯(lián)邦調查局在安全警報中說："自2021年8月以來，聯(lián)邦調查局收到了幾個裝有USB設備的包裹，調查也發(fā)現(xiàn)運輸、保險和國防行業(yè)的美國企業(yè)也收到了這些快遞。”

郵寄的BadUSB設備

聯(lián)邦調查局補充說："這些包裹都是通過美國郵政服務和聯(lián)合包裹服務發(fā)送的。”

聯(lián)邦調查局說，攻擊者對這些包裹進行了偽裝，把它們偽裝成了與大流行病有關的物品，或者偽裝成來自亞馬遜的商品。包裹主要有兩種，那些模仿HHS的包裹通常附有提及COVID-19指南的信件，并附上一個USB;而那些偽裝成亞馬遜的包裹則會裝在一個有裝飾性的禮品盒中，其中包含一封具有欺詐性的感謝信、偽造的禮品卡和一個USB。

無論是哪種方式，這些包裹中都裝有LilyGO品牌的USB設備。

聯(lián)邦調查局說，如果目標相信所有了的裝飾品，并將其插入到了USB驅動器，這些設備就會進行一次BadUSB攻擊。BadUSB攻擊是利用了USB固件中的一個固有漏洞，該漏洞能夠使攻擊者對USB設備進行重新編程，使其能夠作為一個人機交互設備，即作為一個預裝了自動執(zhí)行腳本的惡意USB鍵盤。重新編程后，USB可以被用來在受害者的電腦上執(zhí)行惡意命令或運行惡意程序。

無論是BadUSB攻擊還是FIN7發(fā)動的攻擊都不是什么新鮮事。2020年，Trustwave SpiderLabs網絡安全研究團隊最初發(fā)現(xiàn)這些惡意USB驅動器被發(fā)送到了其中的一些客戶手中，這樣的惡意設備同樣包含在冒充亞馬遜和HHS的包裹中。最近發(fā)生的一次攻擊是2020年的一次攻擊，當時聯(lián)邦調查局同樣發(fā)布了一個公共警報，并將FIN7列為罪魁禍首。

如何預防BadUSB攻擊

你可能會認為，抵御惡意軟件攻擊的方法肯定是非常簡單的，不要把它們插進去就行了。然而，人類的本性就是這樣，一項又一項的研究表明，好奇心或利他主義(我要找出這是誰的，這樣我就可以把它還回去了)會對人的安全造成傷害并導致系統(tǒng)被接管。

盡管如此，你至少要說服人們克制住他們的好奇心，養(yǎng)成良好的行為習慣。Trustwave SpiderLabs的高級安全研究經理Karl Sigler周一告訴媒體，針對員工的安全意識培訓應該包含預防這種類型的攻擊的方法，并警告人們不要將任何不熟悉的設備連接到你的電腦上。

他說，端點保護軟件也可以幫助防止這些攻擊，它可以很好的保證用戶的安全性。

Sigler通過電子郵件說："這些攻擊都是由模擬USB鍵盤的U盤引發(fā)的，所以一個能夠監(jiān)控命令執(zhí)行的端點保護軟件應該能夠解決大多數問題。”

Sigler補充說，對于那些不需要使用USB配件的重要的系統(tǒng)，使用基于物理和軟件的USB端口阻止器也有助于防止這種攻擊。

ACA集團則創(chuàng)造了一個縮寫詞 "CAPs"，指的是所有的組織都應該積極監(jiān)測網絡安全，防止勒索軟件攻擊的發(fā)生。CAPs指的是配置、訪問和補丁，而員工的安全意識及其他教育也是至關重要的。

進行配置管理 — 這樣可以有效減少攻擊者用來訪問你的系統(tǒng)端口的數量。許多攻擊之所以能夠成功，是因為安全設備、云配置等方面存在錯誤的配置。

限制人員訪問 - 減少攻擊者進入你系統(tǒng)內部的訪問點的數量。

及時打補丁 - 減少通過未知的端口進行攻擊的機會，這是修復安全漏洞的基礎。

本文翻譯自：https://threatpost.com/fin7-mailing-malicious-usb-sticks-ransomware/177541/如若轉載，請注明原文地址。