OnePercent 勒索軟件集團通過 IceID 銀行木馬攻擊公司

該勒索軟件組織至少自 2020 年 11 月以來一直活躍，并襲擊了美國的公司。其成員積極尋求贖金，使用欺騙性電話號碼給受害者打電話，如果一周后他們沒有回復最初的贖金通知，則主動向他們發送電子郵件。

網絡釣魚導致 IceID 和 Cobalt Strike

OnePercent 組織依靠 IceID 木馬進行初始網絡訪問。IceID 最初旨在竊取網上銀行憑據，但與許多其他所謂的銀行木馬一樣，它擴展為勒索軟件團體的訪問平臺。過去在TrickBot銀行木馬和Ryuk勒索軟件組、Dridex 木馬和WastedLocker或 Gootkit 和REvil (Sodinokibi)之間觀察到類似的關系。

IceID 通過帶有惡意 zip 附件的網絡釣魚電子郵件分發。zip 檔案包含帶有惡意宏的 Word 文檔，如果允許執行，則下載并安裝 IceID。

在初次感染之后，攻擊者部署了 Cobalt Strike，這是一種商業滲透測試代理，近年來受到許多網絡犯罪分子的歡迎。Cobalt Strike 用于提供對受感染系統的后門訪問，并使用 PowerShell 腳本在網絡中橫向移動。

OnePercent 工具集

在加密數據之前，OnePercent 攻擊可以在受害者的網絡中花費大量時間，擴大他們的訪問范圍并泄露他們發現的有趣數據。聯邦調查局在周一發布的警報中說：“在部署勒索軟件之前，攻擊者已經在受害者的網絡中被觀察了大約一個月。”

在此期間，他們使用各種開源工具，包括憑證轉儲程序 MimiKatz 和相關的 SharpKatz 和 BetterSafetyKatz、用 .NET 編寫的 SharpSploit 后開發庫和 rclone 命令行實用程序。Rclone 允許管理云服務上的文件，在這種情況下，它用于從受害者那里竊取數據。FBI 建議公司將各種 rclone 二進制文件的哈希值添加到他們的惡意軟件檢測程序中。

咄咄逼人的敲詐勒索

OnePercent 組織的贖金記錄將受害者引導至 Tor 匿名網絡上托管的網站，在那里他們可以查看贖金金額并通過實時聊天功能聯系攻擊者。該筆記還包括必須支付贖金的比特幣地址。

如果受害者在一周內沒有付款或聯系攻擊者，該組織將嘗試通過電話和從 ProtonMail 地址發送的電子郵件與他們聯系。聯邦調查局說：“這些行為者將不斷要求與受害公司指定的談判代表交談，或以其他方式威脅要公布被盜數據。” “當受害公司沒有回應時，攻擊者會發出后續威脅，通過相同的 ProtonMail 電子郵件地址發布受害公司被盜數據。”

勒索有不同的程度。如果受害者不同意迅速支付贖金，該組織威脅要公開發布部分數據，如果在此之后仍未支付贖金，攻擊者將威脅將數據出售給REvil/Sodinokibi 組織進行拍賣離開。

除了 REvil 連接之外，OnePercent 過去也可能與其他勒索軟件即服務 (RaaS) 操作相關聯。聯邦調查局咨詢中發布的一些 OnePercent 妥協指標和技術與 FireEye 2 月份發布的 IoC 重疊，用于跟蹤為 UNC2198 的組織。

根據FireEye 的分析，UNC2198 入侵可以追溯到 2020 年 6 月，還涉及 Maze 和Egregor勒索軟件的部署。因此，OnePercent 可能是勒索軟件生態系統中眾所周知的附屬機構——處理受害者入侵和勒索軟件分發的組織，并與勒索軟件程序的創建者分享部分利潤。