Einmal mehr machen USB-Sticks von sich Reden. Schon im vorletzten Jahrzehnt wurden sie für Hackerangriffe verwendet.  Nun warnt das FBI aktuell vor der "Fin7"-Gang, die per Post verseuchte Hardware an Unternehmen schickt. Laut dem FBI werden die Devices als Geschenkbox oder Covid-19-Leitlinien getarnt, berichtet 'The Record'. Dem US-Medium zufolge hat das FBI herausgefunden, dass es sich bei den Hackern um die Cybercrime-Gruppe handle, die hinter den Ransomware-Operationen Darkside und BlackMatter steckt. Diese Hackergruppe gehöre zu den erfolgreicheren, finanziell motivierten Cyber-Kriminellen. Im Mai 202 konnte das FBI einige der mutmasslichen Mitglieder der Bande verhaften.

"Seit August 2021 hat das FBI Berichte über mehrere Pakete mit diesen USB-Geräten erhalten, die an US-Unternehmen in der Transport-, Versicherungs- und Verteidigungsbranche geschickt wurden", heisst es in der Sicherheitswarnung der Behörde. Beim jüngsten bekannt gewordenen Fall habe die Gang ein Unternehmen der Rüstungsindustrie im Visier gehabt.

Konkret werden die Päckchen via US Postal Service und UPS in 2 Varianten zugestellt. Entweder sei das amerikanische Department of Health and Human Services (HHS) als Absender angegeben oder der verseuchte Stick komme als Geschenkbox von Amazon in die Unternehmen. Bei der angeblichen HHS-Post lägen dem USB-Stick oft Briefe bei, die sich auf Covid-19-Richtlinien der Behörde beziehen. Dem Amazon-Paket liege ein gefälschtes Dankesschreiben bei. In beiden Versionen sollen USB-Devices der Marke LilyGO verschickt worden sein.

Wenn die Empfänger die Sticks anschliessen, würden die Sticks eine sogenannte BadUSB-Attacke auszuführen, heisst es bei 'The Record' weiter.

Dabei registriert sich das USB-Laufwerk als Tastatur und kann so Operationen ausführen, selbst wenn auf dem Betriebssystem des Rechners voreingestellt ist, dass externe Speichermedien nicht automatisch ausgeführt werden dürfen. Die Programmroutinen auf dem Stick senden dann eine Reihe vorkonfigurierter automatischer Tastenanschläge an den PC des Benutzers. Sie führen PowerShell-Befehle aus, die verschiedene Malware-Varianten herunterladen und installieren. Diese fungieren wiederum als Hintertür für die Angreifer, über die sie in die Netzwerke der Opfer eindringen.

In den untersuchten Fällen habe das FBI festgestellt, dass sich die Fin7-Gang Administrator-Rechte verschaffte und dann auf andere lokale Systeme Zugriff nahm. Die Kriminellen hätten "dann eine Vielzahl von Tools wie etwa Metasploit, Cobalt Strike, PowerShell-Skripte, Carbanak, Griffon, Diceloader und Tirion verwendet und Ransomware wie Blackmatter und Revil ins angegriffene Netzwerk eingeschleust.