Программа-вымогатель OnePercent Group нацелена на организации США с ноября 2020 г.

42
Банки предупреждают, что мошенники взламывают финансовый код

Федеральное бюро расследований (ФБР) поделилось информацией об злоумышленнике, известном как OnePercent Group, который активно атакует американские организации с помощью программ-вымогателей как минимум с ноября 2020 года.

Федеральное правоохранительное агентство США представило индикаторы компрометации, тактики, приемов и процедур (TTP), а также меры по смягчению последствий в экстренном предупреждении, опубликованном в понедельник.

«ФБР стало известно о киберпреступной группе, которая идентифицирует себя как« OnePercent Group »и которая использовала Cobalt Strike для увековечения атак программ-вымогателей на американские компании с ноября 2020 года», – заявило ФБР .

«Актеры OnePercent Group шифруют данные и выводят их из систем жертв. Актеры связываются с жертвами по телефону и электронной почте, угрожая раскрыть украденные данные через сеть лукового маршрутизатора (TOR) и чистую сеть, если выкуп не будет выплачен виртуально. валюта.”

Сети жертв взломаны с помощью фишинга

Злоумышленники используют вредоносные фишинговые вложения электронной почты, которые сбрасывают полезную нагрузку банковского трояна IcedID на системы целей. После заражения трояном злоумышленники загружают и устанавливают Cobalt Strike на скомпрометированных конечных точках для бокового перемещения по сетям жертв.

После сохранения доступа к сетям своих жертв в течение одного месяца и извлечения файлов перед развертыванием полезных нагрузок программы-вымогателя OnePercent зашифрует файлы с использованием случайного восьмисимвольного расширения (например, dZCqciA) и добавит записки о выкупе с уникальным именем, ссылающиеся на записи о выкупе. луковый сайт.

Жертвы могут использовать веб-сайт Tor, чтобы получить дополнительную информацию о требуемом выкупе, провести переговоры с злоумышленниками и получить «техническую поддержку».

В большинстве случаев жертв попросят заплатить выкуп в биткойнах, при этом ключ дешифрования будет предоставлен в течение 48 часов после совершения платежа.

Приложения и сервисы, используемые операторами OnePercent Group, включают облако AWS S3, IcedID, Cobalt Strike, Powershell, Rclone, Mimikatz, SharpKatz, BetterSafetyKatz, SharpSploit.

Жертвам угрожали телефонными звонками

По данным ФБР, злоумышленники OnePercent Group также будут обращаться к своим жертвам, используя поддельные телефонные номера, угрожая утечкой украденных данных, если они не будут связаны с переговорщиком компании.

«После успешного развертывания программы-вымогателя жертва начнет получать телефонные звонки по поддельным телефонным номерам с требованиями выкупа, и ей будет предоставлен адрес электронной почты ProtonMail для дальнейшего общения», – добавили в ФБР.

«Актеры будут настойчиво требовать разговора с уполномоченным переговорщиком компании-жертвы или иным образом угрожать опубликовать украденные данные.

«Когда компания-жертва не отвечает, злоумышленники отправляют последующие угрозы для публикации украденных данных компании-жертвы через тот же адрес электронной почты ProtonMail».

Хотя ФБР не предоставило никакой информации о прошлых атаках OnePercent Group, два из командно-управляющих серверов, упомянутых в списке IOC ФБР (golddisco [.] Top и june85 [.] Cyou), также появляются в отчете FireEye по Злоумышленник UNC2198, который использует ICEDID для развертывания программ-вымогателей Maze и Egregor.

Те же IOC также упоминались в отчете Team Cymru от мая 2021 года о сопоставлении активной сетевой инфраструктуры IcedID.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here