Le Federal Bureau of Investigation (FBI) a partagé des informations sur un acteur de menace connu sous le nom de OnePercent Group qui cible activement des organisations américaines dans des attaques de ransomware depuis au moins novembre 2020.

L’agence fédérale américaine chargée de l’application des lois a partagé des indicateurs de compromis, de tactiques, de techniques et de procédures (TTP) et de mesures d’atténuation dans une alerte flash publiée lundi.

« Le FBI a entendu parler d’un groupe de cybercriminels qui s’identifie comme le » groupe OnePercent « et qui a utilisé Cobalt Strike pour perpétuer des attaques de ransomware contre des entreprises américaines depuis novembre 2020 », a déclaré le FBI.

« Les acteurs du groupe OnePercent cryptent les données et les exfiltrent des systèmes des victimes. Les acteurs contactent les victimes par téléphone et par e-mail, menaçant de divulguer les données volées via le réseau The Onion Router (TOR) et clearnet, à moins qu’une rançon ne soit payée en virtuel devise. »

Les réseaux des victimes percés par phishing

Les acteurs malveillants utilisent des pièces jointes d’hameçonnage malveillantes qui déposent la charge utile du cheval de Troie bancaire IcedID sur les systèmes des cibles. Après les avoir infectés avec le cheval de Troie, les attaquants téléchargent et installent Cobalt Strike sur les terminaux compromis pour un mouvement latéral sur les réseaux des victimes.

Après avoir maintenu l’accès aux réseaux de leurs victimes jusqu’à un mois et exfiltré les fichiers avant de déployer les charges utiles du rançongiciel, OnePercent chiffrera les fichiers à l’aide d’une extension aléatoire à huit caractères (par exemple, dZCqciA) et ajoutera des notes de rançon portant un nom unique en lien avec le fichier . site web sur l’oignon.

Les victimes peuvent utiliser le site Web de Tor pour obtenir plus d’informations sur la rançon demandée, négocier avec les attaquants et obtenir un « support technique ».

Les victimes seront invitées à payer la rançon en bitcoins dans la plupart des cas, avec une clé de décryptage fournie jusqu’à 48 heures après le paiement.

Les applications et services utilisés par les opérateurs du groupe OnePercent incluent le cloud AWS S3, IcedID, Cobalt…