Le FBI a publié lundi des détails sur les activités d’un groupe de cybercriminalité qui utilise des ransomwares et d’autres logiciels malveillants pour crypter et exfiltrer des données et extorquer des victimes.

Appelée « OnePercent Group », l’organisation criminelle s’est lancée dans des attaques de ransomware contre des organisations aux États-Unis depuis novembre 2020, en utilisant les e-mails de phishing comme vecteur d’attaque.

Les e-mails fournissent des pièces jointes malveillantes contenant des documents Microsoft Office contenant des macros malveillantes. Typiquement, une fois les documents ouverts par la victime, le cheval de Troie bancaire IcedID est déployé sur le système. Le malware est utilisé pour installer Cobalt Strike sur le réseau compromis, qui se déplace latéralement à l’aide de PowerShell.

Les autres outils utilisés par les attaquants incluent Rclone, Mimikatz, SharpKatz, BetterSafetyKatz et SharpSploit.

« Les acteurs utilisent rclone pour exfiltrer les données du réseau de la victime. Les acteurs ont été observés au sein du réseau de la victime pendant environ un mois avant le déploiement du ransomware », indique le FBI.

Après avoir crypté les données sur les systèmes compromis, le ransomware dépose une note de rançon informant la victime qu’elle doit contacter le groupe par e-mail ou par téléphone. Si la victime ne communique pas rapidement, le groupe contacte alors la victime, menaçant de divulguer les données volées.

OnePercent Group ne divulguait généralement qu’un petit pourcentage des données, si la victime ne payait pas la rançon rapidement, menaçant de vendre l’intégralité des données au gang russe qui fournissait le ransomware-as-a-service Sodinokibi (REvil).

Le FBI, qui a partagé des indicateurs de compromission (IOC) associés aux activités du groupe OnePercent, recommande aux organisations de prendre les précautions nécessaires pour protéger leurs données contre les violations et les attaques de ransomware.

Cela comprend la sauvegarde de toutes les données critiques hors ligne, la mise à jour des systèmes et des applications…