Cybercrime. Cyber-Gangster verschicken ihre Verschlüsselungssoftware derzeit per USB-Stick, getarnt als Werbeschenk oder Corona-Info, warnt das FBI.
Die Speichermedien mit der Malware erreichen US-Firmen, etwa in der Rüstungsindustrie, laut dem FBI getarnt als Geschenkbox oder Covid-19-Leitlinien, so das deutsche IT-Nachrichtenportal heise.
Der Ablauf
Als Urheber werde die berüchtigte Cybercrime-Gang FIN7 / Carbanank angesehen. Sie habe in den letzten Monaten zunehmend solche präparierten USB-Sticks verschickt. Gegenüber klassischen Angriffsvektoren wie verseuchten E-Mails ist das ein eher aufwändiger Zugang, der oft auch von „Social Engineering“ unterstützt wird: So rufen etwa angebliche Mitarbeiter an, um Zielpersonen zum Einstecken des USB-Sticks zu bewegen.
Die Ziele sind bisher anscheinend vor allem Unternehmen der US-Rüstungsindustrie, der Modus Operandi eignet sich aber grundsätzlich für jede Institution. IT-Profis tendieren gern dazu, den „Angriff per verseuchtem USB-Stick“ herunterzuspielen, ist die grundsätzliche Gefahr doch schon seit Jahren – oder sogar seit Jahrzehnten – bekannt. Allerdings ist es in vielen Branchen immer noch üblich, USB-Sticks als Werbegeschenke zu versenden, eine Tatsache, die die Cybergangster sich schlicht zunutze machen.
USB-Stick meldet sich beim PC als Tastatur an
Der Cyber-Angriff erfolgt konkret in mehreren Etappen. Zunächst trifft der Stick in einer adretten Geschenkverpackung oder auch getarnt als Behördenpost ein. Ziel ist natürlich, dass unachtsame Anwender ihn in einen Computer stecken, um den Inhalt auszuprobieren – oder auch den Stick selbst zu verwenden.
Passiert das, so versucht der Stick, sich beim Betriebssystem des betroffenen PC als USB-Tastatur anzumelden („BadUSB“-Attacke). Wird er als solche akzeptiert, sendet das angebliche „Keyboard“ Befehlssequenzen, die für den Absender des USB-Sticks eine Online-Hintertür öffnen sollen. Dann drohen Datenklau und Verschlüsselung sowie die Verseuchung weiterer Teile des Unternehmensnetzwerks.
Abhilfe gibt es auf zwei Wegen: Erstens können Mitarbeitende geschult werden, fremde USB-Geräte gleich welcher Art gar nicht zu verwenden. Auch auf dem Privat-PC sollten diese nicht „mal schnell angeschaut“ werden, um nicht dort ein Einfalltor zu öffnen. Zweitens kann die Unternehmens-IT die Sicherheitseinstellungen aller Geräte so stark anziehen, dass nur noch zugelassene USB-Sticks überhaupt starten dürfen.
