OnePercent 勒索软件集团通过 IceID 银行木马攻击公司

该勒索软件组织至少自 2020 年 11 月以来一直活跃，并袭击了美国的公司。其成员积极寻求赎金，使用欺骗性电话号码给受害者打电话，如果一周后他们没有回复最初的赎金通知，则主动向他们发送电子邮件。

网络钓鱼导致 IceID 和 Cobalt Strike

OnePercent 组织依靠 IceID 木马进行初始网络访问。IceID 最初旨在窃取网上银行凭据，但与许多其他所谓的银行木马一样，它扩展为勒索软件团体的访问平台。过去在TrickBot银行木马和Ryuk勒索软件组、Dridex 木马和WastedLocker或 Gootkit 和REvil (Sodinokibi)之间观察到类似的关系。

IceID 通过带有恶意 zip 附件的网络钓鱼电子邮件分发。zip 档案包含带有恶意宏的 Word 文档，如果允许执行，则下载并安装 IceID。

在初次感染之后，攻击者部署了 Cobalt Strike，这是一种商业渗透测试代理，近年来受到许多网络犯罪分子的欢迎。Cobalt Strike 用于提供对受感染系统的后门访问，并使用 PowerShell 脚本在网络中横向移动。

OnePercent 工具集

在加密数据之前，OnePercent 攻击可以在受害者的网络中花费大量时间，扩大他们的访问范围并泄露他们发现的有趣数据。联邦调查局在周一发布的警报中说：“在部署勒索软件之前，攻击者已经在受害者的网络中被观察了大约一个月。”

在此期间，他们使用各种开源工具，包括凭证转储程序 MimiKatz 和相关的 SharpKatz 和 BetterSafetyKatz、用 .NET 编写的 SharpSploit 后开发库和 rclone 命令行实用程序。Rclone 允许管理云服务上的文件，在这种情况下，它用于从受害者那里窃取数据。FBI 建议公司将各种 rclone 二进制文件的哈希值添加到他们的恶意软件检测程序中。

咄咄逼人的敲诈勒索

OnePercent 组织的赎金记录将受害者引导至 Tor 匿名网络上托管的网站，在那里他们可以查看赎金金额并通过实时聊天功能联系攻击者。该笔记还包括必须支付赎金的比特币地址。

如果受害者在一周内没有付款或联系攻击者，该组织将尝试通过电话和从 ProtonMail 地址发送的电子邮件与他们联系。联邦调查局说：“这些行为者将不断要求与受害公司指定的谈判代表交谈，或以其他方式威胁要公布被盗数据。” “当受害公司没有回应时，攻击者会发出后续威胁，通过相同的 ProtonMail 电子邮件地址发布受害公司被盗数据。”

勒索有不同的程度。如果受害者不同意迅速支付赎金，该组织威胁要公开发布部分数据，如果在此之后仍未支付赎金，攻击者将威胁将数据出售给REvil/Sodinokibi 组织进行拍卖离开。

除了 REvil 连接之外，OnePercent 过去也可能与其他勒索软件即服务 (RaaS) 操作相关联。联邦调查局咨询中发布的一些 OnePercent 妥协指标和技术与 FireEye 2 月份发布的 IoC 重叠，用于跟踪为 UNC2198 的组织。

根据FireEye 的分析，UNC2198 入侵可以追溯到 2020 年 6 月，还涉及 Maze 和Egregor勒索软件的部署。因此，OnePercent 可能是勒索软件生态系统中众所周知的附属机构——处理受害者入侵和勒索软件分发的组织，并与勒索软件程序的创建者分享部分利润。