ИБ-специалисты предупредили россиян о рисках использования подаренных флешек

Группировка хакеров FIN7 под видом подарков отправляла сотрудникам крупных компаний зараженные флеш-накопители. Об этом сообщает портал The Record со ссылкой на документы ФБР. Подарки были отправлены от имени Министерства здравоохранения и социальных служб США и сопровождались письмами с рекомендациями по борьбе с COVID-19. В некоторых случаях хакерские посылки были замаскированы под подарочное отправление от Amazon с поддельными поздравительным письмом и подарочной картой. После подключения флешки к компьютеру устройство выполняло атаку BadUSB, в ходе которой хакеры могли получить административный доступ к ПК и другим локальным системам. После этого злоумышленники удаленно устанавливали и запускали вымогательское ПО BlackMatter и REvil в скомпрометированной сети. Руководитель отдела продвижения продуктов компании "Код Безопасности" Павел Коростелев в беседе с "Газетой.Ru" отметил, что зараженные USB-накопители – актуальный вектор несанкционированного проникновения в сеть. По его словам, хакер может не только взломать ПК жертвы и проникать в сеть, но и сломать компьютер. "Это может быть жестокая шутка, так называемый USB-киллер. Злоумышленник немного изменяет накопитель - так, чтобы он создавал короткое замыкание при подключении и выжигал материнскую плату", – объяснил Коростелев. Он отметил, что речь идет главным образом о подарочных флешках, которую уже достали из заводской упаковки. "Если вам дарят флеш-накопитель, самым правильным будет начать с его форматирования. Если мы говорим о USB-накопителях в невскрытой упаковке, то в принципе им можно доверять. Риск попадания зараженных носителей на прилавки крупных магазинов не очень большой, однако опасность все равно есть, если устройство идет "мимо" торговых сетей", – рассказал эксперт. По мнению директора по развитию web-технологий компании Artezio (входит в группу ЛАНИТ) Сергея Матусевича, не только подаренные, но и приобретенные в рознице флешки могут содержать опасные программы. "Вредоносное ПО вполне может быть среди программ, которые производитель флеш-накопителя предлагает пользователям "из коробки". Проблема в том, что производитель не всегда может проконтролировать процесс заводской записи носителей. Как правило, современные флешки уже с завода содержат небольшой пакет программных приложений, которые могут оказаться полезными покупателям. И в этот пакет на стадии заводской записи может быть добавлен код или специальное приложение", – объяснил Матусевич. По его словам, при покупке USB-накопителя стоит ориентироваться только на крупные, известные бренды, которые дорожат репутацией. "No name" флешки же несут гораздо больше рисков для пользователей - на них может быть установлен майнер или другое вредоносное ПО. "Полученную в подарок от незнакомого человека флешку стоит проверять в безопасном режиме или другой песочнице. Безопасный режим можно включить при перезагрузке компьютера. Способ активации этой функции может быть разным для разных моделей. Также флешки стоит проверять антивирусом. И внимательно просматривать расширения и названия файлов. С осторожностью стоит отнестись и к зашифрованным архивам, так как они могут также иметь автозапуск файлов при распаковке", – советует эксперт лаборатории практического анализа защищенности центра информационной безопасности компании "Инфосистемы Джет" Екатерина Рудая. При этом заместитель руководителя Лаборатории компьютерной криминалистики Group-IB Роман Резвухин отметил, что обычный пользователь не сможет самостоятельно понять, заражен флеш-накопитель или нет - настройки по умолчанию не позволят увидеть скрытые файлы.