Cyberthreat.id - Biro Investigasi Federal Amerika Serikat atau FBI mengatakan bahwa FIN7, sebuah kelompok kejahatan dunia maya terkenal yang berada di balik operasi ransomware Darkside dan BlackMatter, telah mengirim perangkat USB berbahaya atau disebut juga 'BadUSB' ke sejumlah perusahaan AS termasuk kontraktor pertahanan selama beberapa bulan terakhir dengan harapan menginfeksi sistem mereka dengan malware dan menjalankan serangan.

“Sejak Agustus 2021, FBI telah menerima laporan dari beberapa paket yang berisi perangkat USB ini, yang dikirim ke bisnis AS di industri transportasi, asuransi, dan pertahanan,” kata Biro dalam peringatan keamanan yang dikirim  ke organisasi AS seperti dilaporkan The Record, Jumat, 7 Januari 2022.

“Paket-paket itu dikirim menggunakan Layanan Pos Amerika Serikat dan Layanan Parsel,” tambah FBI.

“Ada dua variasi paket — yang meniru HHS [Departemen Kesehatan dan Layanan Kemanusiaan AS] sering disertai dengan surat yang merujuk pada pedoman COVID-19 yang disertakan dengan USB; dan mereka yang meniru Amazon tiba dalam kotak hadiah dekoratif yang berisi surat terima kasih palsu, kartu hadiah palsu, dan USB.”

Dalam kedua kasus, paket berisi perangkat USB bermerek LilyGO.

Beberapa Serangan BadUSB Menyebabkan Ransomware

FBI mengatakan bahwa jika penerima memasang USB drive ke komputer mereka, perangkat akan melakukan serangan BadUSB, di mana drive USB akan mendaftarkan dirinya sebagai keyboard dan mengirim serangkaian penekanan tombol otomatis yang telah dikonfigurasi sebelumnya ke PC pengguna.

Penekanan tombol ini akan menjalankan perintah PowerShell yang mengunduh dan menginstal berbagai jenis malware yang bertindak sebagai pintu belakang bagi penyerang ke jaringan korban.

Dalam kasus yang diselidiki oleh FBI, badan tersebut mengatakan telah melihat kelompok tersebut memperoleh akses administratif dan kemudian pindah ke sistem lokal lainnya.

“Aktor FIN7 kemudian menggunakan berbagai alat—termasuk Metasploit, Cobalt Strike, skrip PowerShell, Carbanak, GRIFFON, DICELOADER, TIRION— dan menyebarkan ransomware, termasuk BlackMatter dan REvil, di jaringan yang disusupi,” tambah FBI.

Dalam kasus terbaru dari serangan ini, kelompok tersebut juga menargetkan perusahaan industri pertahanan AS baru-baru ini pada November 2021, menggunakan trik surat terima kasih mengatasnamakan  Amazon.

Ini menandai peringatan kedua yang dikirim FBI tentang FIN7 yang mengirimkan perangkat USB berbahaya ke perusahaan AS.

FBI mengirim yang pertama pada Maret 2020, setelah perusahaan keamanan Trustwave menemukan salah satu perangkat BadUSB berbahaya yang dikirim ke salah satu pelanggannya, penyedia perhotelan AS.[]