La semana pasada, el FBI lanzó una alerta flash actualizada advirtiendo a las empresas estadounidenses que el grupo de ciberdelincuencia FIN7 podría comprometer sus sistemas al entregar unidades USB cargadas de ransomware.

Según se informa, los perpetradores enviaron paquetes por correo a varias empresas estadounidenses que incluían dispositivos "BadUSB (Bad Beetle USB)" engañosamente marcados con el logotipo de LilyGO para eludir sus defensas.

El actor de amenazas confió en el Servicio Postal de EE. UU. y UPS para entregar los paquetes plagados de malware a las empresas. Hasta ahora, el grupo se centró en las empresas de transporte y seguros desde agosto de 2021 y cambió su enfoque hacia las empresas de defensa desde noviembre de 2021.

Los paquetes se disfrazaron astutamente para parecer legítimos, al incluir notas de agradecimiento falsificadas, tarjetas de regalo falsificadas y pautas de COVID-19 junto con las unidades USB maliciosas, según varios informes que recibió el FBI. Presumiblemente, el contenido de los paquetes señuelo depende del perfil de la entidad emisora ​​a la que imita.

Si el objetivo conecta la unidad USB cargada de malware en su computadora, el sistema registra automáticamente el dispositivo como un teclado HID (dispositivo de interfaz humana). Esta solución permite que la unidad USB funcione incluso si el sistema ha desactivado el uso de dispositivos de almacenamiento extraíbles.

Después del registro, el dispositivo BadUSB depende de las pulsaciones de teclas para implementar cargas útiles de malware en las computadoras afectadas. Por lo general, el objetivo de estos ataques es acceder a la red de la víctima e implementar malware utilizando herramientas como Cobalt Strike, Metasploit, scripts de PowerShell y Carbanak.

Estos intentos de comprometer los sistemas que utilizan BadUSB no son los primeros. Desde mayo de 2020, FIN7 supuestamente envió varios paquetes maliciosos que contenían unidades USB maliciosas junto con osos de peluche para engañar a las víctimas para que bajaran la guardia.

Este tipo de ataque se conoce comúnmente como ataque USB drive-by o HID. Por supuesto, solo tienen éxito si la víctima conecta el dispositivo USB desconocido a su computadora.

Una forma segura de defenderse de estas amenazas cibernéticas es nunca conectar ningún dispositivo USB a su PC y dejar siempre que el equipo de seguridad de su empresa los escanee, en caso de que reciba un paquete de este tipo.