Nygammalt säkerhetshot gör comeback

Därför ökade USB-attackerna 2022

När Cisco Talos team för incidentberedskap sammanfattar cyberhotslandskapet för 2022 i rapporten Year in Review 2022 är en av de detaljer som sticker ut att ett av de äldsta sätten att hacka en dator återkommit i ny och mer sofistikerad version. Det handlar om angrepp via smittade USB-stickor.

Redan i januari 2022 avslöjade FBI en stor kampanj där smittade USB-diskar som skickades med post till en mängd företag, Minnena påstods vara utsända från sjukvårdsdepartementet och innehålla viktig information om COVID-19. De innehöll programvara som gjorde att USB-minnet registrerades som ett extra tangentbord och började sedan sända färdiga scripts till datorn för att installera olika former av skadlig programvara, däribland ransomware. Attacken har tillskrivits FIN7, en kriminell grupp som uppges driva verksamheten inifrån Ryssland men där motiven är ekonomiska snarare än politiska.

Under sommaren och hösten noterar rapporten en kraftig spridning av andra former av malware via USB-stickor i de fall som Cisco Talos hanterat åt sina kunder. Även om man inte tar emot en enhet från en USB från en okänd mottagare finns det malware som specialiserar sig på att sprida sig via att infektera externa minnen. Det innebär att även minnen som delas mellan betrodda vänner och kollegor utgör en risk, om en person i gruppens dator är infekterad.

Rapportförfattarna uppmanar företag och organisationer som använder USB-minnen i den dagliga verksamheten att begränsa, och om möjligt införa restriktioner för användandet, samt att utbilda anställda om riskerna.

Ett maskprogram som nått stor spridning är Raspberry Robin, där upptäckterna mer än femdubblades mellan januari och april och fortsatte att vara högt under sommaren och hösten. Programmet kartlades i augusti av Cisco Talos.

”Det här är ett exempel på att cyberkriminella gärna anpassar sin taktik för att dra nytta av att måltavlor fokuserar mer på nya och framväxande former av hot än på gamla. De kommer att fortsätta använda tekniker så länge de fortsätter att fungera”, skriver rapportförfattarna

En annan trend som lyfts fram i rapporten är att cyberattacker i allt större utsträckning utnyttjar programvara som ursprungligen tagits fram i syfte att simulera och förebygga angrepp. Det mest kända exemplet är penetrationstestprogrammet Cobalt Strike, men under 2022 ökade också antalet incidenter med andra liknande program, som Brute Ratel och Sliver. En liknande trend syns i tillväxten av så kallade LoLBins. Förkortningen står för ”Living-off-the-land-binaries”, och syftar på att malware angriper delar av operativsystemet som är förinstallerade på datorn. Eftersom de är program som betraktas som pålitliga och används för rutinmässiga uppgifter, är de lätta att förbise när man letar efter hot.

Cisco Talos årsrapport bygger på avidentifierad telemetrisk information och användarfall från företagets team för incidenthantering.

2023-01-27 - Industritorget