Федеральное бюро расследований поделилось информацией о хакерской группе OnePercent, которая активно атакует американские организации как минимум с ноября 2020 года, выступая «партнером» многих вымогателей, работающих по схеме Ransomware-as-a-Service («Вымогатель-как-услуга»).

«Партнерские программы» вымогателей устроены весьма просто: разработчики малвари занимаются непосредственно вредносом и платежными сайтами, а их наемные «партнеры» взламывают сети жертв и шифруют конечные устройства. В итоге выкупы, полученные от жертв, распределяются между авторами шифровальщика и их «партнерами», причем последние обычно получают 70-80% от общей суммы.

ФБР сообщает, что OnePercent обычно применяет следующую тактику в своих атаках:

  • использует фишинговые письма для заражения жертв трояном IcedID;
  • использует троян IcedID для развертывания дополнительных полезных нагрузок в зараженных сетях;
  • применяет Cobalt Strike для бокового перемещения по сети жертвы;
  • задействует RClone для хищения конфиденциальных данных с серверов жертвы;
  • шифрует данные и требует выкуп;
  • звонит или пишет своим жертвам по электронной почте, чтобы угрозами вынудить пострадавших заплатить выкуп (в противном случае хакеры угрожают обнародовать украденную информацию).

В целом в инструментарий OnePercent входят AWS S3, IcedID, Cobalt Strike, Powershell, Rclone, Mimikatz, SharpKatz, BetterSafetyKatz, SharpSploit и так далее.

Хотя ФБР не сообщает, с какими вымогателями сотрудничает OnePercent, собственные источники в области ИБ сообщили журналистам издания The Record, что группировка давно сотрудничает с операторами вымогателей REvil (Sodinokibi), Maze и Egregor. Кроме того, доменные имена, использованные хакерами для размещения трояна IcedID, тоже связаны с  Maze и Egregor, если судить по отчету компании FireEye, которая отслеживает OnePercent под кодовым именем UNC2198.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии