Российская кибергруппировка подбрасывает зараженные флешки военным предприятиям США

0
22

Хорошая флешка, надо брать

Кибергруппировка FIN7 рассылает по оборонным компаниям США почтовые отправления, содержащие USB-накопители с шифровальщиками, сообщает ФБР.

Злоумышленники используют крупнейшие почтовые службы США USPS и UPS, указывая в качестве отправителей Amazon и Министерство здравоохранения и социальных служб США. Кампания идет уже несколько месяцев: ФБР получает сообщения о ней с августа 2021 г.

В посылках злоумышленников содержатся материалы с рекомендациями по противодействию COVID-19, фальшивые подарочные карты или подделанные благодарственные письма, в зависимости от того, от чьего имени они отправлялись.

Если жертвы имели неосторожность подключить непроверенный flash-накопитель, то начиналась атака. Сам накопитель регистрировался в системе как HID-клавиатура, с которой автоматически вводились команды на установку вредоносных компонентов в скомпрометированные системы. Конечной целью этих команд было получение доступа ко всей локальной сети и установка в нее шифровальщиков везде, где только можно.

Российская кибергруппировка подбрасывает зараженные флешки военным предприятиям США

Кибергруппировка FIN7 начала атаковать оборонные предприятия США

Для компрометации сети используется широкий набор инструментов, в том числе, Metasploit, CobaltStrike, Carbanak, бэкдор Griffon и скрипты PowerShell. В конечном счете жертвам устанавливались такие шифровальщики-вымогатели как BlackMatter и REvil.

Группировка FIN7 уже не в первый раз проводит подобные кампании. В начале 2020 г. те же злоумышленники распространяли подобные посылки от имени торговой сети BestBuy, специализирующейся на бытовой электронике. Зараженные флешки рассылались отелям, ресторанам и торговым сетям. В некоторых случаях жертвы получали от злоумышленников звонки или сообщения по электронной почте с призывами поскорее подключить накопители к своим системам.

С мая 2020 г. FIN7 начали добавлять в свои посылки игрушечных медведей, очевидно, чтобы отвести подозрения.

«Защитить корпоративную инфраструктуру от подобных атак можно несколькими способами, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Самый “драконовский” — полностью заблокировать использование USB-портов на конечных точках, так чтобы можно было использовать только мышь. Второй вариант — задать политику, при которой обмен информацией возможен только со съемными накопителями из “белого” списка по их аппаратным идентификаторам, либо с предварительной проверкой каждой новой флешки службой безопасности. Но все это может не сработать, если сотрудники компании используют личные устройства и подключаются с них к внутренним ресурсам компании. Для таких случаев должны существовать соответствующие политики безопасности, позволяющие исключить попадание нежелательного ПО с пользовательских устройств в корпоративную сеть».

ЧИТАТЬ ТАКЖЕ:  От .SCHOOL до .MBA: обзор доменов для образовательной сферы от REG.RU

FIN7, CombiSecurity и четыре ареста

FIN7 считается российской киберкриминальной группировкой, одной из самых успешных в мире. Большинство ее жертв — это крупные коммерческие структуры в США.

В 2018 г. в Дрездене был задержан и позднее экстрадирован в США некто Федор Гладырь, гражданин Украины. В обвинительном заключении он был назван одним из руководителей FIN7, принимавшим самое непосредственное участие в ее атаках. В 2019 г. Гладырь пошел на сделку со следствием и частично признал вину, а в 2021 г. был осужден судом Вашингтона на 10 лет тюремного заключения.

Облачные хранилища получили трехуровневую защиту от вымогателей Облака

Российская кибергруппировка подбрасывает зараженные флешки военным предприятиям США

Членом группировки Гладырь стал после того, как устроился на должность системного администратора в компанию CombiSecurity, которая позиционировалась как фирма, специализирующаяся на информационной безопасности с головным офисом в Москве. На деле же эта компания была не более чем фасадом, прикрывавшим киберпреступные операции FIN7 и использовавшимся для найма новых членов группировки.

На сайте SuperJob еще можно найти объявления этой компании, датированные 2017 г.

Кроме Гладыря, в 2018 г. в Польше и Испании были задержаны двое других предполагаемых участника FIN7, также являющиеся гражданами Украины: Дмитрий Федоров и Андрей Колпаков. Оба были экстрадированы в США.

Летом 2021 г. Колпаков был приговорен к семи годам тюрьмы; он также признал вину. Его защита утверждала, что он не занимал в FIN7 руководящих позиций, а просто оказался «загнанным в угол» после того, как «случайно» стал участником группировки. По всей видимости, он также устраивался на работу в CombiSecurity.

Что такое геокластер и чем он может быть полезен владельцам бизнеса Бизнес

Российская кибергруппировка подбрасывает зараженные флешки военным предприятиям США

Что касается Федорова, то он, по-видимому, до сих пор находится в Польше и ожидает экстрадиции в США.

В материалах министерства юстиции США упоминается дело против еще одного предполагаемого участника FIN7, Дениса Ярмака, также гражданина Украины. Его арестовали в 2020 г. по запросу США в Таиланде. Суд над ним начался в конце июля 2020 г., но продолжится только в сентябре 2022 г.

Таким образом, в руках американского правосудия оказались четверо участников FIN7, двое из которых уже получили сроки, однако своей активности группировка не снижает.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь