Internet Sehat : Biro Investigasi Federal (FBI) telah membagikan info tentang aktor ancaman yang dikenal sebagai OnePercent Group yang telah secara aktif menargetkan organisasi Amerika Serikat dalam serangan ransomware setidaknya sejak November 2020.
Badan penegak hukum federal AS membagikan indikator kompromi, taktik, teknik, dan prosedur (TTP), dan langkah-langkah mitigasi dalam peringatan kilat yang diterbitkan pada hari Senin minggu ini.
FBI mengatakan bahwa mereka telah mengetahui adanya kelompok penjahat dunia maya yang mengidentifikasi diri sebagai OnePercent Group dan yang telah menggunakan Cobalt Strike untuk melancarkan serangan ransomware terhadap perusahaan AS sejak November 2020.
Aktor OnePercent Group mengenkripsi data dan mengekstraknya dari sistem korban. Pelaku menghubungi korban melalui telepon dan email, mengancam akan merilis data yang dicuri melalui jaringan The Onion Router (TOR) dan clearnet, kecuali jika uang tebusan dibayarkan dalam mata uang virtual.
Pelaku ancaman menggunakan lampiran email phishing berbahaya yang menjatuhkan muatan trojan perbankan IcedID pada sistem target. Setelah menginfeksi mereka dengan trojan, penyerang mengunduh dan menginstal Cobalt Strike pada titik akhir yang dikompromikan untuk gerakan lateral di seluruh jaringan korban.
Setelah mempertahankan akses ke jaringan korban mereka hingga satu bulan dan mengekstrak file sebelum menyebarkan muatan ransomware, OnePercent akan mengenkripsi file menggunakan ekstensi delapan karakter acak (misalnya, dZCqciA) dan akan menambahkan catatan tebusan bernama unik yang menghubungkan ke mereka di jaringan TOR.
Korban dapat menggunakan situs web Tor untuk mendapatkan info lebih lanjut tentang tebusan yang diminta, bernegosiasi dengan penyerang, dan mendapatkan dukungan teknis. Korban akan diminta untuk membayar uang tebusan dalam bitcoin (dalam banyak kasus) dengan kunci dekripsi yang diberikan hingga 48 jam setelah pembayaran dilakukan.
Menurut FBI, afiliasi ransomware juga akan menjangkau korban mereka menggunakan nomor telepon palsu, mengancam akan membocorkan data yang dicuri kecuali jika mereka terhubung dengan negosiator perusahaan. Setelah ransomware berhasil disebarkan, korban akan mulai menerima panggilan telepon melalui nomor telepon palsu dengan permintaan tebusan dan diberikan alamat email ProtonMail untuk komunikasi lebih lanjut.
Para aktor jahat ini akan terus-menerus menuntut untuk berbicara dengan negosiator yang ditunjuk perusahaan korban atau mengancam untuk mempublikasikan data yang dicuri. Aplikasi dan layanan yang digunakan oleh operator OnePercent Group termasuk AWS S3 cloud, IcedID, Cobalt Strike, Powershell, Rclone, Mimikatz, SharpKatz, BetterSafetyKatz, dan SharpSploit.
Sumber : Bleeping Computer
