Gammel USB sikkerhedstrussel gør comeback

Cyberangreb via inficerede USB-sticks gør i følge Cisco i øjeblikket et comeback i en ny og mere sofistikeret version.

Cisco Talos, som er Ciscos analyseenhed for cybersecurity, har opsummeret trusselslandskabet for cybersecurity i rapporten ’Year in Review 2022’, og i den rapport er der en af detaljerne, der skiller sig markant ud. Nemlig at et levn fra en svunden tid er tilbage i en ny og mere sofistikeret version. Det drejer sig om cyberangreb via inficerede USB-sticks.

Allerede i januar 2022 afslørede FBI en stor kampagne, hvor inficerede USB-drev, der blev sendt med post til en række virksomheder, påstod at være sendt fra sundhedsdepartementet og indeholdt vigtig information om COVID-19. Realiteten var, at drevene indeholdt software, der gjorde, at USB-hukommelsen blev registreret, og derefter begyndte at sende færdige scripts til computeren for at installere forskellige former for skadelig software, herunder ransomware. Angrebet tilskrives hackergruppen FIN7, en kriminel gruppe, der angiveligt driver virksomhed fra Rusland, men hvor motiverne er økonomiske snarere end politiske.

Ifølge rapporten ses i løbet af sommeren og efteråret en kraftig spredning af andre former for
malware via USB-sticks i sager, som Cisco Talos har håndteret for sine kunder. Her viser det sig, at malware også spredes på USB-enheder, der bliver delt mellem kollegaer og venner. I flere tilfælde er der tale om malware, der er designet til at sprede sig ved at inficere eksterne hukommelser. Det betyder, at drev, der deles mellem troværdige venner og kolleger også udgør en risiko, hvis en person i gruppens computer er inficeret med malware.

Cisco Talos opfordrer virksomheder og organisationer, der bruger USB-drev i den daglige drift, at indføre begrænsninger for brugen, samt at uddanne og informere medarbejdere om risiciene herved. 

Et maskinprogram, der har opnået stor spredning, er Raspberry Robin, hvor antallet af sager er mere end femdoblet mellem januar og april 2022, og som fortsatte med at være stige under sommeren og efteråret. Programmet blev kortlagt i august af Cisco Talos.

"Dette er et eksempel på, at cyberkriminelle gerne tilpasser deres taktik for at udnytte, at målene fokuserer mere på nye og voksende former for trusler end på gamle. De vil fortsætte med at bruge teknikker, så længe de fortsætter med at fungere," lyder det i rapporten.

En anden trend, der fremhæves i rapporten, er at cyberangreb i stigende grad udnytter software, der oprindeligt er udviklet til at simulere og forhindre angreb. Det mest kendte eksempel er penetrationstestprogrammet Cobalt Strike, men i 2022 steg antallet af tilfælde med andre lignende programmer, som Brute Ratel og Sliver. En lignende trend ses i væksten af såkaldte LoLBins.

Forkortelsen står for "Living-off-the-land-binaries" og henviser til, at malware angriber dele af operativsystemet, der er forudinstalleret på computeren. Fordi de er programmer, der betragtes som pålidelige og bruges til rutinemæssige opgaver, er de nemme at overse, når man leder efter trusler.

Cisco Talos årsrapport bygger på anonym telemetrisk information og aktuelle cases fra kunder, som Cisco Talos håndterer.