Af Eskil Sørensen, 25/08/21
Cyberdivisionen hos amerikanske FBI har udsendt en advarsel om en ny cyberkriminel gruppe, der kalder sig OnePercent Group. Der er tale om en gruppe, der har angrebet virksomheder i USA siden november 2020.
Det skriver Infosecurity Magazine.
Gruppen bruger Cobalt Strike til sine angreb, der dog starter som så mange andre: Vha phishingemail med en vedhæftet fil, hvis makroer inficerer systemet med ’IcedID'-banktrojaneren.
Selve vedhæftningen vises som en zip-fil, der indeholder et Microsoft Word- eller Excel-dokument. Når den er aktiveret, downloader banktrojaneren ekstra software til offerets computer, herunder Cobalt Strike. Denne bevæger sig ind i netværket, primært med fjernbetjening via Powershell’en, dvs. kommandoprompten.
Med denne adgang til et offers computer krypterer OnePercent data og eksfiltrerer dem fra netværket ved hjælp af rclone. Herefter efterlades en besked fra gruppen om, at offeret har en uge fra infektionsdatoen til at komme i kontakt med ransomware-gruppen.
Hvis ofrene ikke har etableret forbindelse, kontakter gruppen offeret via en ProtonMail-emailadresse eller over telefonen ved hjælp af falske telefonnumre. Her får ofrene at vide, at en lille del af deres data vil blive lækket via TOR-netværket, medmindre der er faldet en betaling af løsesummen. Nægter ofrene stadig at betale, truer ransomware-gruppen med at sælge data til ransomware-banden Sodinokibi (REvil) mhp. at få data bortauktioneret.
Altså et eksempel på samarbejde mellem forskellige ransomwareaktører, der er specialiseret inden for et særligt område inden for de aktiviteter, der knytter sig til ransomware.
Ifølge FBI er OnePercent Group-gruppe inde i et offers netværk omkring en måned, før ransomwaren indsættes.
Amerikanske virksomheder opfordres af FBI til at sikkerhedskopiere deres kritiske data offline og bruge multifaktorgodkendelse med stærke adgangskoder til at beskytte sig mod ransomware-angreb.
Links:
https://www.infosecurity-magazine.com/news/fbi-issues-ransomware-group-flash/