FBI Flash 警报警告 OnePercent Group 勒索软件攻击

警报包括战术、技术和程序 (TTP)，以及与组相关的妥协指标。

闪光警报还提供缓解措施。

“联邦调查局了解到一个自称为‘OnePercent Group’的网络犯罪组织，自 2020 年 11 月以来，他们一直使用 Cobalt Strike 对美国公司实施勒索软件攻击。OnePercent Group 的参与者通过网络钓鱼电子邮件攻击受害者，其中包含附件由用户打开。附件的宏使用 IcedID1 银行木马感染系统。IcedID 下载其他软件以包含 Cobalt Strike。Cobalt Strike 在网络中横向移动，主要使用 PowerShell 远程处理。OnePercent Group 的参与者加密数据并将其从受害者的系统中窃取。攻击者通过电话和电子邮件联系受害者，威胁要通过洋葱路由器 (TOR) 网络和 clearnet 发布被盗数据，除非以虚拟货币支付赎金。” 读取警报由 FBI 出版，由 BleepingComputer 出版。“OnePercent Group 参与者的勒索策略总是从警告开始，然后从部分数据泄露到所有受害者泄露的数据全部泄露。”

该组织利用使用附件的网络钓鱼消息，将 IcedID 银行木马有效载荷投放到目标系统上。该木马用于在受感染的系统上投放和安装 Cobalt Strike，并将其用于在整个受害者网络中横向移动。

据观察，攻击者会在受害者的网络中停留大约一个月，在此期间，他们会在使用勒索软件负载加密文件之前窃取文件。

“一旦勒索软件成功部署，受害者将开始通过具有勒索要求的欺骗电话号码接听电话，并提供一个 ProtonMail 电子邮件地址以进行进一步沟通。行为者将不断要求与受害公司指定的谈判代表交谈，或以其他方式威胁要公布被盗数据。” 继续警报。“当受害公司没有回应时，攻击者会发出后续威胁，通过同一个 ProtonMail 电子邮件地址发布受害公司被盗数据。”

OnePercent 组对文件进行加密并在其文件名后附加一个随机的八字符扩展名（例如 dZCqciA），并将添加唯一命名的赎金说明，其中包括对威胁行为者运营的 .onion 网站的引用。

这个洋葱网站用于传达赎金金额并向受害者提供技术支持，受害者也可以使用它通过服务实现的在线聊天功能进行谈判。

本集团接受比特币付款，付款后24-48小时内提供解密密钥。

该集团在其运营中使用多种应用程序和服务，包括 AWS S3 云、IcedID、Cobalt Strike、Powershell、Rclone、Mimikatz、SharpKatz、BetterSafetyKatz、SharpSploit。

“虽然 FBI 没有提供有关 OnePercent Group 过去攻击的任何信息，但 FBI 的 IOC 列表中提到的两个命令和控制服务器（golddisco[.]top 和 june85[.]cyou）也出现在 FireEye 的报告中ICEDID 部署 Maze 和 Egregor 勒索软件的 UNC2198 威胁参与者。” 报告BleepingComputer。

以下是 FBI 提供的建议：

• 离线备份关键数据。
• 确保管理员没有使用“管理员批准”模式。
• 如果可能，实施 Microsoft LAPS。
• 确保关键数据的副本位于云端或外部硬盘驱动器或存储设备上。不应从受感染的网络访问此信息。
• 保护您的备份并确保无法从原始数据所在的系统访问数据以进行修改或删除。• 保持计算机、设备和应用程序打补丁并保持最新状态。
• 考虑为从组织外部收到的电子邮件添加电子邮件横幅。
• 禁用未使用的远程访问/远程桌面协议 (RDP) 端口并监控远程访问/RDP 日志。
• 审核具有管理权限的用户帐户，并以最低权限配置访问控制。
• 实施网络分段。• 使用具有强密码短语的多因素身份验证。