[25/08/2021] El FBI advierte a las empresas de que un grupo de ransomware que se hace llamar OnePercent o 1Percent está aprovechando el troyano IceID y el backdoor Cobalt Strike para introducirse en las redes. Al igual que muchos otros grupos de ransomware de alto perfil, OnePercent cifra y roba datos corporativos, amenazando a las víctimas con liberar o subastar la información si no se paga el rescate.
El grupo de ransomware lleva activo al menos desde noviembre del 2020 y ha afectado a las empresas. Sus miembros son agresivos a la hora de pedir el rescate, llamando a las víctimas mediante números de teléfono falsos, y enviándoles correos electrónicos de forma activa si no responden a la nota de rescate inicial después de una semana.
El phishing conduce a IceID y Cobalt Strike
El grupo OnePercent se basa en el troyano IceID para el acceso inicial a las redes. IceID fue diseñado originalmente para robar credenciales bancarias en línea, pero al igual que muchos otros de los llamados troyanos bancarios, se convirtió en una plataforma de acceso para los grupos de ransomware. En el pasado se han observado relaciones similares entre el troyano bancario TrickBot y el grupo de ransomware Ryuk, el troyano Dridex y WastedLocker o Gootkit y REvil (Sodinokibi).
IceID se distribuye a través de correos electrónicos de phishing que llevan adjuntos zip maliciosos. Los archivos zip contienen documentos de Word con macros maliciosas que, si se dejan ejecutar, descargan e instalan IceID.
Tras esta infección inicial, los atacantes despliegan Cobalt Strike, un agente comercial de pruebas de penetración que se ha hecho popular entre muchos ciberdelincuentes en los últimos años. Cobalt Strike se utiliza para proporcionar acceso de puerta trasera a los sistemas infectados y moverse lateralmente a través de la red utilizando scripts de PowerShell.
El conjunto de herramientas de OnePercent
Antes de cifrar los datos, los ataques de OnePercent pueden pasar mucho tiempo dentro de la red de la víctima, ampliando su acceso y exfiltrando los datos interesantes que encuentran. "Los actores han sido observados dentro de la red de la víctima durante aproximadamente un mes antes del despliegue del ransomware", señaló el FBI en una alerta publicada el lunes.
Durante este tiempo, utilizan una variedad de herramientas de código abierto, incluyendo el programa de vertido de credenciales MimiKatz y los asociados SharpKatz y BetterSafetyKatz, la biblioteca de post-explotación SharpSploit escrita en .NET y la utilidad de línea de comandos rclone. Rclone permite gestionar archivos en servicios en la nube, y en este caso se utiliza para exfiltrar datos de las víctimas. El FBI aconseja a las empresas que añadan los hashes de los distintos binarios de rclone a sus programas de detección de malware.
Extorsión agresiva
La nota de rescate del grupo OnePercent dirige a las víctimas a un sitio web alojado en la red anónima Tor, donde pueden ver el importe del rescate y ponerse en contacto con los atacantes a través de un chat en directo. La nota también incluye una dirección de Bitcoin donde se debe pagar el rescate.
Si las víctimas no pagan o no se ponen en contacto con los atacantes en el plazo de una semana, el grupo intenta ponerse en contacto con ellas mediante llamadas telefónicas y correos electrónicos enviados desde direcciones de ProtonMail. "Los actores exigen insistentemente hablar con el negociador designado por la empresa víctima o amenazan con publicar los datos robados", explicó el FBI. "Cuando una empresa víctima no responde, los actores envían posteriores amenazas de publicar los datos robados de la empresa víctima a través de la misma dirección de correo electrónico ProtonMail".
La extorsión tiene diferentes niveles. Si la víctima no accede a pagar el rescate rápidamente, el grupo amenaza con liberar una parte de los datos públicamente y si el rescate no se paga incluso después de esto, los atacantes amenazan con vender los datos al grupo REvil/Sodinokibi para que los subasten.
Aparte de la conexión con REvil, OnePercent podría haber estado vinculado a otras operaciones de ransomware como servicio (RaaS) en el pasado también. Algunos de los indicadores de compromiso y técnicas de OnePercent publicados en el aviso del FBI coinciden con los IoC publicados por FireEye en febrero para un grupo rastreado como UNC2198.
Según el análisis de FireEye, las intrusiones de UNC2198 se remontan a junio del 2020 y también implican el despliegue del ransomware Maze y Egregor. Por tanto, OnePercent podría ser lo que se conoce en el ecosistema del ransomware como un grupo afiliado, que se encarga de comprometer a las víctimas y de distribuir el ransomware y comparte parte de los beneficios con los creadores del programa de ransomware.
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú