Was ist BadUSB?

BadUSB bezeichnet eine Angriffswelle, bei der verseuchte USB-Sticks an Mitarbeiter versendet werden. Das müssen Sie jetzt wissen.
Von 
CSO | 13. Juli 2022 06:04 Uhr
BadUSB-Angriffe stellen für Unternehmen eine Bedrohung dar. So wappnen Sie sich dagegen.
BadUSB-Angriffe stellen für Unternehmen eine Bedrohung dar. So wappnen Sie sich dagegen.
Foto: M.a.u - shutterstock.com

Im Januar 2022 gab das FBI eine öffentliche Warnung bezüglich einer Angriffskampagne heraus, bei der zwischen August und November 2021 zahlreiche USB-Laufwerke mit Schadsoftware an Mitarbeiter von Unternehmen im Transport-, Verteidigungs- und Versicherungssektor verschickt wurden. Die USB-Laufwerke waren mit gefälschten Briefen des US-Gesundheitsministeriums oder Amazon versehen. Die Kampagne wurde "BadUSB" getauft - verantwortlich dafür soll die Hacker-Gruppe FIN7 sein.

Wir haben für Sie zusammengestellt, was Sie über BadUSB-Angriffe wissen sollten und wie Sie diese Risiken minimieren.

BadUSB - Definition

"Bei einem BadUSB-Angriff dient ein vermeintlicher USB-Stick als Köder - oft in Verbindung mit einem Lockangebot wie einer Geschenkkarte. Das Ziel der Angreifer, ist es, das Opfer dazu zu bewegen, den Stick an ihr System anzuschließen", erklärt Karl Sigler, Senior Security Research Manager bei Trustwave SpiderLabs. Sein Malware-Forschungsteam entdeckte die Kampagne im Jahr 2020 im Rahmen einer forensischen Untersuchung für einen US-Hospitality-Anbieter.

"Das USB-Laufwerk ist eigentlich als USB-Tastatur konfiguriert. Der Rechner erkennt das und konfiguriert das Device entsprechend. Nach dem Einstecken beginnt die - fiktive - USB-Tastatur automatisch mit der Eingabe und beginnt damit, Malware herunterzuladen."

BadUSB-Attacken - Bedrohungslevel

Verlaufe ein BadUSB-Angriff erfolgreich, diene er als Türöffner für alles Mögliche - von Credential Grabber bis hin zu Backdoors und Ransomware, so Sigler. "Diese Art von Angriffen wird unter Sicherheitsexperten häufig diskutiert, ist aber nicht weit verbreitet. Angesichts seiner Seltenheit ist der Angriff wahrscheinlich in vielen Situationen effektiv."

"Dieser Angriffsvektor könnte ein Versuch sein, den Home-Office-Trend auszunutzen", schreibt Yossi Naar, Chief Visionary Officer und Mitbegründer von Cybereason. "Es gibt weniger Leitplanken und die Wahrscheinlichkeit steigt, dass sich ein Benutzer mit seinem Arbeitscomputer oder seinem Heimnetzwerk verbindet, mit dem auch sein Arbeitscomputer verbunden ist."

Dabei weist Naar auch darauf hin, dass einige Organisationen oder Abteilungen routinemäßig USB-Laufwerke nutzen. Hier sei die Wahrscheinlichkeit hoch, dass die Mitarbeiter USB-Speichergeräte verwenden, ohne Verdacht zu schöpfen: "Das würde diese Taktik noch effektiver machen. Wenn Angreifer erst einmal Fuß gefasst haben, können Sie ihre Zugriffsrechte ausweiten oder das Netzwerk erkunden."

Das wahrscheinlich riskanteste Element von BadUSB ist jedoch die Möglichkeit, dass eine solche Kampagne lediglich zu Ablenkungszwecken gefahren wird - um einen anderen oder größeren Angriff zu verschleiern, so Naar: "Es gibt eine Vielzahl effektiverer Angriffsvektoren, die sich nicht auf eine potenziell rückverfolgbare Kampagne wie diese stützen. FIN7 ist ein hochentwickelter Bedrohungsakteur, deshalb fühlt sich das Ganze wie ein großes Ablenkungsmanöver an."

BadUSB-Angriffe - Risiken vorbeugen

Unternehmen können mehrere Schritte unternehmen, um zu verhindern, Opfer eines BadUSB-Angriffs werden. Der erste besteht darin, diese und ähnliche Kampagnen in Sicherheitsschulungen einzubeziehen und sicherzustellen, dass alle Mitarbeiter wissen, wie mit nicht identifizierter Hardware umzugehen ist. "Unbekannte Speichergeräte sollten direkt dem internen Sicherheitsteam übergeben werden", empfiehlt Sigler. "Auch ein aktueller Endpunktschutz kann dabei helfen, sich vor eventuell heruntergeladener Malware zu schützen. Physische und softwarebasierte USB-Port-Blocker für kritische Systeme, die kein USB-Zubehör benötigen, sind ebenfalls lohnenswert." (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Michael Hill schreibt für unsere US-Schwesterpublikation CSO Online.