La División Cibernética de la Oficina Federal de Investigación ha emitido una alerta rápida sobre una banda organizada de ciberdelincuentes que se hace llamar OnePercent Group.
El modus operandi de OnePercent es utilizar el software de emulación de amenazas Cobalt Strike para perpetuar los ataques de ransomware. El proceso de infección comienza en la bandeja de entrada de la víctima.
“Los actores de OnePercent Group comprometen a las víctimas a través de un correo electrónico de phishing en el que el usuario abre un archivo adjunto”, afirma la advertencia del FBI. “Las macros del adjunto infectan el sistema con el troyano bancario IcedID”.
El adjunto malicioso aparece como un archivo zip que contiene un documento de Microsoft Word o Excel. Una vez activado, el troyano bancario descarga software adicional en el ordenador de la víctima, incluyendo Cobalt Strike, que según el FBI “se mueve lateralmente en la red, principalmente con la eliminación de PowerShell”.
Después de acceder al ordenador de la víctima, OnePercent encripta sus datos y los exfiltra de la red utilizando rclone. Se deja una nota de rescate virtual que indica a la víctima que tiene una semana desde la fecha de la infección para ponerse en contacto con el grupo de ransomware.
Si no se produce comunicación, el grupo se pone en contacto con la víctima a través de una dirección de correo electrónico de ProtonMail o por teléfono utilizando números de teléfono falsos. A las víctimas se les dice que una pequeña parte de sus datos se filtrará a través de la red The Onion Router (TOR) y clearnet, a menos que se pague un rescate.
Si la víctima se niega a pagar después de esta “filtración del uno por ciento” inicial, el grupo de ransomware amenaza con vender sus datos a la banda de ransomware Sodinokibi (REvil) para publicarlos en una subasta.
El FBI dijo que los actores de la amenaza del Grupo OnePercent han sido vistos entrando en la red de la víctima alrededor de un mes antes del despliegue el ransomware.
Se insta a las empresas estadounidenses a realizar copias de seguridad de sus datos críticos fuera de línea y a utilizar la autenticación multifactor con contraseñas fuertes para protegerse de los ataques de ransomware.
Con información de: Info Security Magazine.