FBI Flash 警報警告 OnePercent Group 勒索軟件攻擊

警報包括戰術、技術和程序 (TTP)，以及與組相關的妥協指標。

閃光警報還提供緩解措施。

“聯邦調查局了解到一個自稱為‘OnePercent Group’的網絡犯罪組織，自 2020 年 11 月以來，他們一直使用 Cobalt Strike 對美國公司實施勒索軟件攻擊。OnePercent Group 的參與者通過網絡釣魚電子郵件攻擊受害者，其中包含附件由用戶打開。附件的宏使用 IcedID1 銀行木馬感染系統。IcedID 下載其他軟件以包含 Cobalt Strike。Cobalt Strike 在網絡中橫向移動，主要使用 PowerShell 遠程處理。OnePercent Group 的參與者加密數據并將其從受害者的系統中竊取。攻擊者通過電話和電子郵件聯系受害者，威脅要通過洋蔥路由器 (TOR) 網絡和 clearnet 發布被盜數據，除非以虛擬貨幣支付贖金。” 讀取警報由 FBI 出版，由 BleepingComputer 出版。“OnePercent Group 參與者的勒索策略總是從警告開始，然后從部分數據泄露到所有受害者泄露的數據全部泄露。”

該組織利用使用附件的網絡釣魚消息，將 IcedID 銀行木馬有效載荷投放到目標系統上。該木馬用于在受感染的系統上投放和安裝 Cobalt Strike，并將其用于在整個受害者網絡中橫向移動。

據觀察，攻擊者會在受害者的網絡中停留大約一個月，在此期間，他們會在使用勒索軟件負載加密文件之前竊取文件。

“一旦勒索軟件成功部署，受害者將開始通過具有勒索要求的欺騙電話號碼接聽電話，并提供一個 ProtonMail 電子郵件地址以進行進一步溝通。行為者將不斷要求與受害公司指定的談判代表交談，或以其他方式威脅要公布被盜數據。” 繼續警報。“當受害公司沒有回應時，攻擊者會發出后續威脅，通過同一個 ProtonMail 電子郵件地址發布受害公司被盜數據。”

OnePercent 組對文件進行加密并在其文件名后附加一個隨機的八字符擴展名（例如 dZCqciA），并將添加唯一命名的贖金說明，其中包括對威脅行為者運營的 .onion 網站的引用。

這個洋蔥網站用于傳達贖金金額并向受害者提供技術支持，受害者也可以使用它通過服務實現的在線聊天功能進行談判。

本集團接受比特幣付款，付款后24-48小時內提供解密密鑰。

該集團在其運營中使用多種應用程序和服務，包括 AWS S3 云、IcedID、Cobalt Strike、Powershell、Rclone、Mimikatz、SharpKatz、BetterSafetyKatz、SharpSploit。

“雖然 FBI 沒有提供有關 OnePercent Group 過去攻擊的任何信息，但 FBI 的 IOC 列表中提到的兩個命令和控制服務器（golddisco[.]top 和 june85[.]cyou）也出現在 FireEye 的報告中ICEDID 部署 Maze 和 Egregor 勒索軟件的 UNC2198 威脅參與者。” 報告BleepingComputer。

以下是 FBI 提供的建議：

• 離線備份關鍵數據。
• 確保管理員沒有使用“管理員批準”模式。
• 如果可能，實施 Microsoft LAPS。
• 確保關鍵數據的副本位于云端或外部硬盤驅動器或存儲設備上。不應從受感染的網絡訪問此信息。
• 保護您的備份并確保無法從原始數據所在的系統訪問數據以進行修改或刪除。? 保持計算機、設備和應用程序打補丁并保持最新狀態。
• 考慮為從組織外部收到的電子郵件添加電子郵件橫幅。
• 禁用未使用的遠程訪問/遠程桌面協議 (RDP) 端口并監控遠程訪問/RDP 日志。
• 審核具有管理權限的用戶帳戶，并以最低權限配置訪問控制。
• 實施網絡分段。? 使用具有強密碼短語的多因素身份驗證。