Le FBI avertit que le célèbre gang de cybercriminels FIN7 envoie depuis quelques mois de plus en plus de clés USB contenant des logiciels malveillants à des groupes américains, notamment dans l’industrie de l’armement. Le gang, également connu sous le nom de Carbanank, mise sur le fait que les personnes concernées insèrent les supports de stockage dans les ordinateurs des entreprises et infectent ainsi leurs systèmes avec des logiciels malveillants. Sur cette base, des attaques informatiques plus poussées et des extorsions en ligne ont eu lieu.
« Depuis août 2021, le FBI a reçu des rapports sur plusieurs paquets contenant ces périphériques USB envoyés à des entreprises américaines dans les secteurs du transport, de l’assurance et de la défense », a déclaré l’agence d’application de la loi dans une alerte de sécurité envoyée jeudi aux membres enregistrés du partenariat public-privé InfraGard. Les envois ont été livrés par l’US Postal Service et UPS.
Sommaire
Une clé USB s’enregistre comme clavier
Il existe deux variantes de paquets, a expliqué le FBI selon les médias américains. Dans le premier cas, le ministère américain de la Santé et des Services sociaux (HHS) est indiqué comme expéditeur. Outre une clé USB, il contiendrait souvent des lettres se référant aux directives Covid-19 de l’administration. Dans d’autres cas, les supports de stockage perfides sont emballés dans une boîte cadeau décorative d’Amazon. Celui-ci contient également une fausse lettre de remerciement. Dans les deux versions, les pirates ont utilisé des périphériques USB de la marque LilyGO.
Selon le FBI, lorsque les destinataires connectent les clés à leurs ordinateurs, ils subissent une attaque BadUSB. Le lecteur USB s’enregistre comme clavier sous la forme d’un Human Interface Device (HID). Elle peut ainsi effectuer des opérations même si le système d’exploitation de l’ordinateur est configuré de manière à ce que les supports de stockage externes ne soient pas exécutés automatiquement.
Ransomware
Les routines du programme sur la clé envoient ensuite une série de frappes automatiques préconfigurées au PC de l’utilisateur. Elles exécutent des commandes PowerShell qui téléchargent et installent différentes variantes de logiciels malveillants. Celles-ci agissent à leur tour comme une porte dérobée permettant aux pirates d’accéder aux réseaux des victimes. Dans les cas étudiés, le FBI a constaté que le gang obtenait des droits d’administrateur et s’attaquait ensuite à d’autres systèmes locaux.
Selon l’avertissement, les acteurs de FIN7, qui ont déjà pénétré depuis 2013 dans des serveurs bancaires et des distributeurs automatiques de billets ainsi que dans des terminaux de paiement à l’aide d’attaques de phishing sophistiquées et de logiciels malveillants dans le monde entier, et qui ont parfois écopé de peines de prison, ont ensuite utilisé une série d’instruments tels que Metasploit, Cobalt Strike, des scripts PowerShell, Carbanak, Griffon, Diceloader et Trion. Ils ont ensuite installé des ransomwares tels que BlackMatter et REvil sur le réseau attaqué, ont chiffré les fichiers détectables avec ces chevaux de Troie et ont demandé une rançon pour les libérer.
Contact supplémentaire par e-mail ou téléphone
La nouvelle vague d’attaques par lecteur USB fait suite à une série d’incidents similaires dont le FBI avait déjà averti il y a deux ans. A l’époque, FIN7 agissait au nom du distributeur d’électronique américain Best Buy et envoyait des paquets similaires contenant des lecteurs flash malveillants à des hôtels, des restaurants et des magasins de détail sous le logo de ce distributeur.
Les premiers rapports sur de telles attaques sont apparus dès février 2020. Certaines personnes ciblées ont indiqué que les criminels les avaient incitées par e-mail ou par téléphone à connecter les lecteurs à leurs systèmes. Certains malfaiteurs auraient également envoyé des personnages mignons comme des ours en peluche pour encourager les victimes potentielles à utiliser les appareils.
Les entreprises peuvent se protéger contre de telles attaques en n’autorisant leurs employés à connecter que des périphériques USB disposant d’un identifiant matériel validé ou ayant été préalablement contrôlés par l’équipe interne de sécurité informatique. Vous trouverez d’autres conseils pertinents pour un poste de travail informatique fixe et mobile sûr dans les listes de contrôle de sécurité de c’t.