Social media

FBI: OnePercent Group atakuje firmy i instytucje w USA

Fot.: FBI
Fot.: FBI

Od listopada 2020 roku grupa hakerów o nazwie OnePercent atakuje za pomocą technik ransomware firmy prywatne oraz instytucje państwowe w USA – alarmuje Federalne Biuro Śledcze. Według ekspertów, cyberprzestępcy korzystają z narzędzia Cobalt Strike oraz metod znanych w innych atakach phishingowych.

Federalne Biuro Śledcze (FBI) podzieliło się informacjami o nowej grupie cyberprzestępców, znanej jako OnePercent Group, która od co najmniej listopada 2020 roku aktywnie atakuje amerykańskie firmy prywatne, a także organizacje i instytucje państwowe za pomocą ransomware.

Cobalt Strike w rękach hakerów

„FBI dowiedziało się o grupie cyberprzestępczej, która identyfikuje się jako OnePercent Group i która wykorzystała Cobalt Strike do prowadzenia ataków ransomware przeciwko podmiotom w USA od listopada 2020 roku - podało FBI w alercie. - Hakerzy z grupy OnePercent szyfrują dane i przejmują je z systemów ofiar. Następnie kontaktują się z ofiarami za pośrednictwem telefonu i poczty elektronicznej, grożąc opublikowaniem skradzionych informacji za pośrednictwem sieci Tor i clearnet, chyba że zostanie zapłacony okup w wirtualnej walucie."

Według FBI osoby odpowiedzialne za opisane zagrożenie wykorzystują złośliwe załączniki do wiadomości phishingowych, które umieszczają trojana bankowego IcedID w systemach ofiar. Po zainfekowaniu, atakujący pobierają i instalują Cobalt Strike (znane narzędzie do prowadzenie testów penetracyjnych sprawdzających, czy dane środowisko sieciowe jest bezpieczne) w systemach informatycznych, które obrali za cel.

Nie płacić cyberprzestępcom

Jak podaje FBI, OnePercent szyfruje pliki przy użyciu losowego rozszerzenia (np. dZCqciA) i dodaje odnośniki do strony internetowej .onion należącej do grupy.

Ofiary mogą użyć strony Tor, aby uzyskać więcej informacji na temat żądanego okupu, negocjować z napastnikami i uzyskać „wsparcie techniczne". Zaatakowane podmioty są proszone o zapłacenie okupu w bitcoinach, w zamian oferuje im się klucz deszyfrujący dostarczany w czasie do 48 godzin po dokonaniu płatności.

Zgodnie z alertem aplikacje i usługi wykorzystywane przez operatorów OnePercent Group obejmują następujący zestaw narzędzi:

  • Chmurę AWS S3
  • IcedID
  • Cobalt Strike
  • Powershell
  • Rclone
  • Mimikatz
  • SharpKatz
  • BetterSafetyKatz
  • SharpSploit

FBI radzi, aby nie płacić autorom ataków z grupy OnePercent i w razie wykrycia takiego incydentu skontaktować się z agencją lub innymi oficjalnymi instytucjami w USA zajmującymi się cyberbezpieczeństwem informatycznym w tym kraju.


Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected] Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.


image
Fot. Reklama

 

Komentarze

    Czytaj także