Федеральное бюро расследований поделилось информацией о хакерской группе OnePercent, которая активно атакует американские организации как минимум с ноября 2020 года, выступая «партнером» многих вымогателей, работающих по схеме Ransomware-as-a-Service («Вымогатель-как-услуга»).
«Партнерские программы» вымогателей устроены весьма просто: разработчики малвари занимаются непосредственно вредносом и платежными сайтами, а их наемные «партнеры» взламывают сети жертв и шифруют конечные устройства. В итоге выкупы, полученные от жертв, распределяются между авторами шифровальщика и их «партнерами», причем последние обычно получают 70-80% от общей суммы.
ФБР сообщает, что OnePercent обычно применяет следующую тактику в своих атаках:
- использует фишинговые письма для заражения жертв трояном IcedID;
- использует троян IcedID для развертывания дополнительных полезных нагрузок в зараженных сетях;
- применяет Cobalt Strike для бокового перемещения по сети жертвы;
- задействует RClone для хищения конфиденциальных данных с серверов жертвы;
- шифрует данные и требует выкуп;
- звонит или пишет своим жертвам по электронной почте, чтобы угрозами вынудить пострадавших заплатить выкуп (в противном случае хакеры угрожают обнародовать украденную информацию).
В целом в инструментарий OnePercent входят AWS S3, IcedID, Cobalt Strike, Powershell, Rclone, Mimikatz, SharpKatz, BetterSafetyKatz, SharpSploit и так далее.
Хотя ФБР не сообщает, с какими вымогателями сотрудничает OnePercent, собственные источники в области ИБ сообщили журналистам издания The Record, что группировка давно сотрудничает с операторами вымогателей REvil (Sodinokibi), Maze и Egregor. Кроме того, доменные имена, использованные хакерами для размещения трояна IcedID, тоже связаны с Maze и Egregor, если судить по отчету компании FireEye, которая отслеживает OnePercent под кодовым именем UNC2198.
