Hospitality-Gewerbe lag im Fokus eines BadUSB-Angriffs

Autor: Jelle Wieringa, Security Awareness Advocate bei KnowBe4

Der aktuelle Sicherheitsvorfall mit einem USB-Stick gestattet einen Blick daraufzu werfen, wie Unternehmen zu leichtsinnigen Opfern werden könnten. Eine der ältesten Formen des modernen Social Engineerings ist der „Abwurf des mit Malware beladenen USB-Sticks auf dem Firmen-Parkplatz“. In diesem Monat haben Sicherheitsforscher von Trustwave die Welt auf einen versuchten Betrugsversuch mit einem USB-Stick an einem ihrer Klienten aufmerksam gemacht, welcher nicht genannt werden möchte. Das gefährliche Speichermedium wird auch als BadUSB-Gerät bezeichnet. Der Begriff tauchte in Deutschland erstmals 2014 auf, als ein Forscherteam um Karsten Nohl auf der damaligen Black Hat einen manipulierten USB-Stick vorstellten und die Gefahren aufzeigten, die davon ausgehen.

Beim aktuellen Beispiel ist der Ablauf recht simpel: Der Kunde erhielt per Post eine BestBuy-Geschenkkarte, einen Brief mit BestBuy-Briefkopf, in dem er sich für sein Geschäft bedankte. Ebenfalls enthalten war ein USB-Stick, der wie der Brief angab, eine Liste der Gegenstände enthielt, für die die Geschenkkarte benutzt werden könne.

Anstatt auf den Betrug hereinzufallen, wurde Trustwave schließlich zu einer Untersuchung hinzugezogen. Nach dem Anschließen des BadUSB-Geräts an eine Testarbeitsstation wurde ein PowerShell-Skript gestartet, welches ein zweites PowerShell-Skript und einen Jskript-basierten Malware-Bot herunterlud. Die Malware wurde installiert und sogar ein gefälschtes Popup-feld erschien, um mit dem Opfer zu erklären, warum es keine Liste der mit dem Geschenkgutschein zu erwerbenden Artikel gebe. Die Malware sammelt eine Vielzahl von Informationen über den infizierten Computer und sendet diese an den Command & Control (C2)-Server zurück. Dann springt er in eine Schleife, um auf Anweisungen des C2-Servers zu warten.

Dieser Betrug ist ein wunderbares Beispiel dafür, wie einfaches Social Engineering, ein gestohlener leerer Best Buy-Geschenkgutschein und ein preiswertes BadUSB-Gerät (das nur etwa 7 US-Dollar kostet) dazu verwendet werden können, ein Unternehmen mit Malware zu infizieren. Die Folgen sind klar: Kosten und/oder Datenverluste.

Mitarbeiter würde niemals einen fremden USB-Stick in ihren PC stecken, oder doch?

Ein kontinuierliches Security Awareness Training kann helfen, dieses Risiko zu vermeiden, indem sie über Social Engineering, die verschiedenen Formen des Betrugs und darüber informiert werden, wie sie vermeiden können, Opfer eines solchen Betrugs zu werden.

Kostenloser USB-Sicherheitstest

Den Erfahrungen KnowBe4s nach, werden Im Durchschnitt 45 Prozent der Mitarbeiter einen gefundenen oder zugeschickten USB-Stick anschließen. Mit dem kostenlosen USB-Sicherheitstest von KnowBe4 kann ermittelt werden, wie viele es exakt sind. Die dabei enthaltene spezielle „beaconized“-Datei kann auf ein beliebiges USB-Laufwerk heruntergeladen werden. Das Laufwerk sollte dann mit etwas Verlockendem beschriftet werden und an einem stark frequentierten Ort fallengelassen werden. Wenn ein Mitarbeiter es aufhebt, an seinem Arbeitsplatz einsteckt und die Datei öffnet, meldet diese das „Fehlgeschlagen“ an die Konsole. Bei den enthaltenen Office-Dokumenten werden zusätzliche Daten verfolgt und analysiert, wenn der Benutzer darüber hinaus auch die Makros aktiviert.