Tecnología

OnePercent Group Ransomware se dirigió a organizaciones de EE. UU. Desde noviembre de 2020

FBI: OnePercent Group Ransomware se dirigió a organizaciones estadounidenses desde noviembre de 2020

La Oficina Federal de Investigaciones (FBI) ha compartido información sobre un actor de amenazas conocido como OnePercent Group que ha estado apuntando activamente a organizaciones estadounidenses en ataques de ransomware desde al menos noviembre de 2020.

La agencia federal de aplicación de la ley de EE. UU. Compartió indicadores de compromiso, tácticas, técnicas y procedimientos (TTP) y medidas de mitigación en una alerta flash publicada el lunes.

«El FBI se enteró de un grupo ciberdelincuente que se identifica a sí mismo como el ‘One Percent Group’ y que ha utilizado Cobalt Strike para perpetuar los ataques de ransomware contra empresas estadounidenses desde noviembre de 2020», dijo el FBI. dijo.

«Los actores del One Percent Group cifran los datos y los extraen de los sistemas de las víctimas. Los actores se comunican con las víctimas por teléfono y correo electrónico, amenazando con liberar los datos robados a través de la red The Onion Router (TOR) y clearnet, a menos que se pague un rescate moneda virtual «.

Redes de víctimas violadas a través de phishing

Los actores de amenazas utilizan archivos adjuntos de correo electrónico de phishing maliciosos que arrojan la carga útil del troyano bancario IcedID en los sistemas de los objetivos. Después de infectarlos con el troyano, los atacantes descargan e instalan Cobalt Strike en los puntos finales comprometidos para el movimiento lateral a través de las redes de las víctimas.

Después de mantener el acceso a las redes de sus víctimas por hasta un mes y exfiltrar archivos antes de implementar las cargas útiles de ransomware, OnePercent cifrará los archivos usando una extensión aleatoria de ocho caracteres (por ejemplo, dZCqciA) y agregará notas de rescate con un nombre único que se vincula a la pandilla. sitio web de cebolla.

Las víctimas pueden utilizar el sitio web de Tor para obtener más información sobre el rescate exigido, negociar con los atacantes y obtener «soporte técnico».

A las víctimas se les pedirá que paguen el rescate en bitcoins en la mayoría de los casos, con una clave de descifrado proporcionada hasta 48 horas después de realizado el pago.

Las aplicaciones y servicios utilizados por los operadores del Grupo OnePercent incluyen la nube AWS S3, IcedID, Cobalt Strike, Powershell, Rclone, Mimikatz, SharpKatz, BetterSafetyKatz, SharpSploit.

Víctimas amenazadas mediante llamadas telefónicas

Según el FBI, los actores de amenazas de One Percent Group también se comunicarán con sus víctimas utilizando números de teléfono falsificados, amenazando con filtrar los datos robados a menos que estén conectados con un negociador de la empresa.

«Una vez que el ransomware se implementa con éxito, la víctima comenzará a recibir llamadas telefónicas a través de números de teléfono falsificados con demandas de rescate y se le proporcionará una dirección de correo electrónico ProtonMail para una mayor comunicación», agregó el FBI.

«Los actores exigirán persistentemente hablar con el negociador designado por la empresa víctima o amenazarán con publicar los datos robados.

«Cuando una empresa víctima no responde, los actores envían amenazas posteriores para publicar los datos robados de la empresa víctima a través de la misma dirección de correo electrónico de ProtonMail».

Si bien el FBI no ha proporcionado ninguna información sobre los ataques pasados ​​de OnePercent Group, dos de los servidores de comando y control mencionados en la lista de IOC del FBI (golddisco[.]top y june85[.]cyou) también aparece en Informe de FireEye sobre el actor de amenazas UNC2198 que ICEDID para implementar Maze y Egregor ransomware.

Los mismos COI también se mencionaron en un Informe del equipo Cymru de mayo de 2021 sobre el mapeo de la infraestructura de red IcedID activa.

Leave a Comment

You may also like

Más