Achtung vor USB-Attacken: Neue Ransomware-Kampagnen kommen via Stick

27. Januar, 2022

Tipp #1 vorweg: Niemals einen unbekannten USB-Stick anstecken!

Vor über 20 Jahren haben USB-Sticks die unhandlichen und notorisch unzuverlässigen Disketten abgelöst. Seit Anbeginn der Entwicklung leidet die Grundstruktur der vielseitigen USB-Schnittstelle jedoch an erheblichen Schwachstellen. Es gibt nur ungenügende Sicherheitsvorkehrungen gegen Missbrauch und Täuschung.

Bereits 2014 wurde auf der Black-Hat Konferenz darauf hingewiesen, dass harmlose USB-Geräte einfach umprogrammiert und sich als schädliches Gerät verbinden können. Getauft wurde diese Art von Attacken „Bad USB“. [1,2] In verschiedenen Szenarien kann sich ein USB-Stick z.B. als Tastatur oder ein anderes Eingabegerät registrieren und so unter dem aktuellen Benutzer-Account beliebige Befehle in das System einbringen.

Welche Gefahren können von USB-Sticks ausgehen?

2016 verteilte ein Forscher von Google rund 300 USB-Sticks auf öffentlichen Plätzen. Besonders beliebt waren die Parkplätze und Eingangsbereiche von Unternehmen. Sein Experiment war recht erfolgreich: Ca. 50% der Datenträger wurden von den Anwendern angesteckt und die darauf enthaltenen Dateien geöffnet. [3] Vergleichbare Szenarien sind für die verschiedensten Arten von Schadsoftware denkbar:

  • Umleiten des Anwenders auf gefälschte Websites, um vertrauliche Daten abzugreifen
  • Ausnutzen von Sicherheitslücken in Anwendungen durch Ausführung infizierter Daten
  • Vortäuschen von Eingabegeräten und Ausführen von Aktionen und Befehlen als Benutzer

Das ist jedoch bei weitem nicht alles, was technisch möglich und denkbar ist. Israelische Sicherheitsforscher haben bereits im Jahr 2018 29 verschiedene Arten beschrieben, wie Angreifer USB-Geräte verwenden könnten, um die Computer der Benutzer zu kompromittieren. [4] All diese Angriffe können nicht nur mit USB-Sticks, sondern auch mit modifizierten USB-Ladekabeln durchgeführt werden.

Warnung vor Kampagnen mit präparierten USB-Sticks

Anfang Jänner 2022 warnte das FBI vor einer neuen Ransomware-Kampagne. Hackergruppen versenden per Post an ausgewählte Mitarbeitende verschiedener Unternehmen USB-Sticks. Getarnt sind diese Sendungen als harmlose Informationskampagnen bekannter Absender, z.B. zur Covid-Pandemie oder als Gutscheine für bekannte Online-Shops. [5,6] Mit dem Einstecken der USB-Speichermedien helfen die Empfänger indirekt dabei, das eigene Unternehmen mit Ransomware zu infizieren.

„Eigentlich ein alter Hut“, kommentiert Markus Riegler, Head of Managed Defense bei IKARUS: „Der präparierte USB-Stick ist in Wirklichkeit eine Tastatur, der durch Plug and Play vom Betriebssystem automatisch installiert und aktiviert wird. Damit werden die darauf gespeicherten Tastenanschläge ausgeführt – als säße der Angreifer eingeloggt mit Ihrem Account vor Ihrem Rechner.“ Die Risiken sind enorm.

Empfehlungen und Informationen an Mitarbeitende

Die Erkennung der Bad USB-Attacken ist schwierig und selbst für Admins kein leichtes Unterfangen. Besonders fremde oder unbekannte USB-Sticks, aber generell auch anderes USB-Zubehör sollte immer mit Vorsicht behandelt werden.

Technisch ist es denkbar, anhand der USB-ID nur bekanntes Zubehör auf Endgeräten zuzulassen. Aufgrund der Verwaltung der vielen verschiedenen USB-Devices ist dies für viele Unternehmen jedoch nicht immer praktikabel. Zur Überprüfung eignet sich ein isoliertes Testgerät in der internen IT.

Der einfachste Weg, um das Risiko zu adressieren, ist die Sensibilisierung der Mitarbeitenden für die drohenden Gefahren sowie genaue Vorgaben, welche Geräte oder Zubehör im Firmennetzwerk verwendet bzw. nicht verwendet werden dürfen. Informieren Sie über die drohenden Gefahren und legen sie fest, dass gefundene oder empfangene USB-Zubehörteile beispielsweise zur Überprüfung in der IT abzugeben sind und keinesfalls ohne vorherige Legitimierung angesteckt werden dürfen.

Im Privatumfeld lautet die schlichte, aber effektive Expertenempfehlung: Niemals unbekannte USB-Sticks, die via Post kommen, gefunden oder auf der Straße verteilt werden, anstecken! So senken Sie das Risiko gegen Null.

Lesenswert:

26 Software-Bugs in USB-Bausteinen

Quellen:

MSSP of the Year 2024

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung
Frühzeitige Erkennung von Cybergefahren
Gefahren durch vertrauenswürdige Services

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download