25/08/21
Федеральное бюро расследований США опубликовало свое первое публичное уведомление, в котором подробно описываются методы работы партнера вымогательских группировок.
Партнер вымогательской группировки представляет собой человека или группу лиц, которые арендуют доступ к вредоносному ПО по бизнес-модели Ransomware-as-a-Service (RaaS), организуют взлом корпоративных сетей, шифруют файлы с помощью «арендованной программы-вымогателя», а затем получают комиссию от успешных выплат.
Партнер, указанный ФБР под названием OnePercent Group, был активен как минимум с ноября 2020 года. Согласно отчету ФБР, группировка в ходе своих атак организовывала фишинговые почтовые кампании для заражения жертв трояном IcedID, использовала IcedID для установки дополнительных полезных нагрузок в зараженных сетях, использовала фреймворк для постэксплуатации Cobalt Strike для перемещения по сети жертвы, использовала RClone для кражи конфиденциальных данных с серверов жертвы, зашифровывала данные и затем требовала выкуп, а также звонила или отправляла электронное письмо жертвам с угрозами продать украденные данные в даркнете в случае отказа заплатить выкуп.
Получив доступ к сети жертвы, OnePercent Group оставляла записку с требованием выкупа. Если жертва не выполняла требование преступников и не выходила на связь с группировкой, группа применяла ответные меры с угрозой утечки данных. Угрозы отправлялись по электронной почте или по телефону. Если жертва не платила достаточно быстро, группировка публиковала 1% украденных данных в качестве предупреждения. Если жертвы после этого не хотели платить, группа угрожала продать данные жертвы на сайте утечек данных REvil.
Хотя ФБР специально не называло эту группу дочерней вымогательской группировкой, источники в сфере кибербезопасности сообщили, что OnePercent давно сотрудничает с создателями и операторами вымогателя REvil (Sodinokibi), а также Maze и Egregor.
Опубликованное сообщение ФБР по безопасности является важным шагом в разъяснении того, как на самом деле работает экосистема киберпреступности. ФБР не сообщило, активна ли группировка OnePercent в настоящее время.
