BadUSB: a ameaça cibernética que faz você conectá-lo
Uma onda recente de ataques cibernéticos baseados em USB atingiu organizações nos EUA. Dispositivos USB maliciosos são postados para vítimas selecionadas. Assim que eles são conectados, o estrago está feito.
As ameaças representadas pelas unidades USB
As unidades USB são convenientes, trivialmente acessíveis e onipresentes. Essa conveniência vem em detrimento da segurança. As unidades USB são portáteis, ocultáveis e podem ser usadas para exfiltrar informações confidenciais de redes e computadores corporativos. Por esse motivo, muitas organizações proíbem as unidades USB do local de trabalho e usam ferramentas de software para desativar o acesso USB. Tais medidas não são a norma. Normalmente, eles são implantados apenas em organizações maiores. Em outros lugares, as unidades USB podem ser usadas gratuitamente.
O roubo de dados é apenas uma das ameaças. As unidades USB podem ser extraviadas e perdidas, expondo informações privadas e confidenciais. As unidades USB são normalmente usadas para transportar arquivos e movê-los entre computadores. Se uma unidade estiver conectada a um computador infectado por malware, a unidade USB estará infectada. Em seguida, torna-se um mecanismo de transporte para o malware. É provável que as unidades USB sejam conectadas a computadores domésticos mal protegidos, bem como a computadores corporativos, aumentando os riscos de infecção.
Além da infecção acidental por malware, as unidades USB podem ser carregadas com software malicioso e deixadas como isca. A maneira mais fácil de fazer isso é camuflar um programa malicioso para que pareça um PDF ou arquivo de documento e esperar que a vítima tente abri-lo. Outros são muito mais sutis.
Em janeiro de 2022, o FBI emitiu uma declaração sobre uma nova onda de ataques cibernéticos baseados em drives USB, apelidados de BadUSB. Unidades USB foram enviadas para funcionários de transporte, defesa e organizações financeiras.
As unidades USB foram acompanhadas por cartas convincentes. Alguns pretendiam ser do Departamento de Saúde e Serviços Humanos dos EUA e falaram sobre as diretrizes do COVID-19. Outros imitaram caixas de presente da Amazon e até incluíram um cartão-presente falsificado. As unidades USB foram modificadas para que atacassem os computadores do alvo assim que fossem conectadas.
A isca e a espera
Deixar unidades USB em estacionamentos de funcionários e outras áreas acessíveis de uma empresa é uma maneira simples de colocar unidades USB maliciosas nas mãos dos funcionários. Truques simples de engenharia social aumentam a probabilidade de alguém levá-lo de volta ao seu local de trabalho e inseri-lo em seu computador.
Drives USB são plantados antes do almoço. Assim, os funcionários os encontram na hora do almoço. Eles vão voltar para suas mesas durante a tarde. Se as unidades USB caírem após o almoço, é provável que o funcionário as encontre no final do dia de trabalho e as leve para casa.
Anexar um monte de chaves à unidade USB altera a descoberta de Encontrei uma unidade USB para Encontrei as chaves de alguém. Isso desencadeia um conjunto diferente de reações. Todos podem se relacionar com o incômodo de perder um molho de chaves. Em uma tentativa de tentar fazer a coisa certa e identificar o proprietário, é muito provável que a pessoa que os encontre verifique a unidade USB em busca de pistas.
Se eles virem um documento com um título irresistível, como “Planos de Redundância” ou “Compra de Administração”, provavelmente tentarão abri-lo. Se o documento for realmente um programa mal-intencionado ou estiver carregando uma carga maliciosa, o computador — e, portanto, a rede — está infectado.
O treinamento de conscientização de segurança cibernética da equipe deve explicar os perigos de conectar unidades USB não identificadas. Quando fui contratado para fornecer treinamento de conscientização da equipe, algumas semanas depois, acompanho ataques simulados benignos. Isso mede a suscetibilidade da equipe. Ele permite que os módulos de treinamento sejam repetidos se um ataque específico encontrar um número desproporcional de vítimas e permite que indivíduos com baixo desempenho sejam identificados e retreinados.
As quedas de USB quase sempre são bem-sucedidas. Mesmo quando os membros da equipe identificam corretamente os e-mails de phishing e outros tipos de ataque, alguém se apaixona pela unidade USB. Há algo na natureza da unidade USB - talvez porque seja completamente inerte, a menos que seja conectada - que torna algumas pessoas incapazes de resistir a conectá-las. Pelo menos, até serem pegas pela primeira vez.
A abordagem “uma vez mordido, duas vezes tímido” está bem no contexto de uma campanha de teste benigna, mas com uma ameaça real? Você já está infectado.
Pisando em uma mina terrestre
Ataques mais sofisticados usam USBs que podem infectar o computador sem que o usuário tente executar um programa ou abrir um arquivo. USBs maliciosos foram criados — e encontrados em campo — que exploravam uma vulnerabilidade na forma como o Windows analisava os metadados nos atalhos do Windows. Isso foi explorado para que um falso aplicativo do Painel de Controle fosse executado. O falso aplicativo do Painel de Controle era o malware.
Bastava que o usuário inserisse o drive USB e visualizasse a lista de arquivos do dispositivo. Atalhos na unidade USB causaram o lançamento de um aplicativo malicioso do Painel de Controle. O aplicativo malicioso também estava na unidade USB.
Os dispositivos BadUSB foram modificados para que ainda menos interação seja necessária. Tudo o que é necessário é que a vítima insira o drive USB.
Quando estão conectados, os dispositivos USB conversam com o sistema operacional. O dispositivo se identifica informando ao sistema operacional a marca, o modelo e o tipo de dispositivo. Dependendo do tipo de dispositivo, o sistema operacional pode interrogar o dispositivo USB para obter mais informações sobre ele mesmo e seus recursos. Os dispositivos BadUSB são modificados - o firmware do fabricante é substituído por um firmware personalizado pelos agentes da ameaça - para que eles se identifiquem como um teclado USB.
Assim que o dispositivo é registrado no Windows como teclado, ele envia um fluxo de caracteres para o sistema operacional. O Windows os aceita como entrada digitada e age sobre eles. Os comandos abrem uma janela do PowerShell e baixam malware. O usuário não precisa fazer mais do que inserir a unidade USB.
USBs maliciosos conhecidos como USB Killers já são bem conhecidos, mas são dispositivos grosseiros que danificam o computador ao qual estão conectados. A pequena quantidade de energia elétrica que é enviada para os dispositivos USB é acumulada e ampliada dentro do USB killer e liberada como rajadas rápidas de até 200 V de volta ao computador através da porta USB. O dano físico que isso causa torna o computador inoperante. Assassinos de USB não conseguem nada além de vandalismo, por pior que seja. Eles não espalham malware nem infectam o computador ou a rede de forma alguma.
Disfarçados de teclado, os dispositivos BadUSB podem baixar e instalar qualquer tipo de malware, sendo os mais comuns os sequestradores de credenciais e ransomware. Os ataques BadUSB são uma forma de engenharia social. A engenharia social tenta manipular a vítima para que tome alguma ação que beneficie os agentes da ameaça. A carta de apresentação convincente e outras armadilhas se combinam para adicionar autenticidade à identidade do remetente.
Etapas que você pode seguir
Como em todos os ataques de engenharia social, a melhor defesa é a educação, mas há outras etapas que você também pode seguir.
- O treinamento de conscientização da equipe — apoiado por testes de suscetibilidade — ajudará a evitar que esse tipo de ataque seja eficaz. Isso deve ser repetido pelo menos anualmente.
- Se as unidades USB não precisam fazer parte dos fluxos de trabalho, considere desativar o acesso USB. Use o armazenamento de arquivos em nuvem ou outros meios para transferir arquivos muito grandes para enviar por e-mail e que precisam ser acessados em locais diferentes.
- Desative a execução automática para dispositivos USB.
- Certifique-se de que o software de proteção de ponto final verifique as unidades USB após a inserção.
- Um computador de descontaminação sem ar pode ser usado para escanear e inspecionar quaisquer pendrives USB se eles precisarem ser levados para suas instalações.