Social media
FBI: OnePercent Group atakuje firmy i instytucje w USA
Od listopada 2020 roku grupa hakerów o nazwie OnePercent atakuje za pomocą technik ransomware firmy prywatne oraz instytucje państwowe w USA – alarmuje Federalne Biuro Śledcze. Według ekspertów, cyberprzestępcy korzystają z narzędzia Cobalt Strike oraz metod znanych w innych atakach phishingowych.
Federalne Biuro Śledcze (FBI) podzieliło się informacjami o nowej grupie cyberprzestępców, znanej jako OnePercent Group, która od co najmniej listopada 2020 roku aktywnie atakuje amerykańskie firmy prywatne, a także organizacje i instytucje państwowe za pomocą ransomware.
Cobalt Strike w rękach hakerów
„FBI dowiedziało się o grupie cyberprzestępczej, która identyfikuje się jako OnePercent Group i która wykorzystała Cobalt Strike do prowadzenia ataków ransomware przeciwko podmiotom w USA od listopada 2020 roku - podało FBI w alercie. - Hakerzy z grupy OnePercent szyfrują dane i przejmują je z systemów ofiar. Następnie kontaktują się z ofiarami za pośrednictwem telefonu i poczty elektronicznej, grożąc opublikowaniem skradzionych informacji za pośrednictwem sieci Tor i clearnet, chyba że zostanie zapłacony okup w wirtualnej walucie."
Według FBI osoby odpowiedzialne za opisane zagrożenie wykorzystują złośliwe załączniki do wiadomości phishingowych, które umieszczają trojana bankowego IcedID w systemach ofiar. Po zainfekowaniu, atakujący pobierają i instalują Cobalt Strike (znane narzędzie do prowadzenie testów penetracyjnych sprawdzających, czy dane środowisko sieciowe jest bezpieczne) w systemach informatycznych, które obrali za cel.
Nie płacić cyberprzestępcom
Jak podaje FBI, OnePercent szyfruje pliki przy użyciu losowego rozszerzenia (np. dZCqciA) i dodaje odnośniki do strony internetowej .onion należącej do grupy.
Ofiary mogą użyć strony Tor, aby uzyskać więcej informacji na temat żądanego okupu, negocjować z napastnikami i uzyskać „wsparcie techniczne". Zaatakowane podmioty są proszone o zapłacenie okupu w bitcoinach, w zamian oferuje im się klucz deszyfrujący dostarczany w czasie do 48 godzin po dokonaniu płatności.
Zgodnie z alertem aplikacje i usługi wykorzystywane przez operatorów OnePercent Group obejmują następujący zestaw narzędzi:
- Chmurę AWS S3
- IcedID
- Cobalt Strike
- Powershell
- Rclone
- Mimikatz
- SharpKatz
- BetterSafetyKatz
- SharpSploit
FBI radzi, aby nie płacić autorom ataków z grupy OnePercent i w razie wykrycia takiego incydentu skontaktować się z agencją lub innymi oficjalnymi instytucjami w USA zajmującymi się cyberbezpieczeństwem informatycznym w tym kraju.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.