Federal Soruşturma Bürosu (FBI), en az 2020'den bu yana, Ransomware saldırılarında ABD kuruluşlarını aktif olarak hedefleyen ONEPERCENT GROUP olarak bilinen bir tehdit aktörüyle ilgili bilgileri paylaştı.
ABD Federal Kanun İcra Ajansı, Pazartesi günü yayınlanan bir flaş uyarısındaki uzlaşma, taktikler, teknikler ve prosedürler (TTP) ve azaltma önlemlerinin göstergelerini paylaştı.
FBI, "OnEpercent Group 'olarak özdeşleşen ve Kobalt Grevini kullanan siber suçlu grubunu öğrendi ve FBI, 2020 yılından bu yana ABD şirketlerine karşı fidye yazılımı saldırılarını sürdürmek için kobalt grevini kullanan" dedi.
"ONEPERCENT GROUP ACTORS, verileri şifreliyor ve kurbanların sistemlerinden çıkar. Aktörler, bir fidye sanal olarak ödenmediği sürece, çalınan verileri soğuma yönlendiricisi (Tor) ağ ve Clearnet üzerinden serbest bırakmakla tehdit ederek, kurbanlarla temas eder. para birimi."
Tehdit aktörleri, IceDid Bankacılığının Trojan yükünü hedeflerin sistemlerine düşüren kötü amaçlı phishing e-posta eklerini kullanır. Trojan ile onları enfekte ettikten sonra, saldırganlar, kurbanların ağları boyunca yanal hareketi için son uç noktalarda kobalt grevi indirip yükler.
Ransomware yüklerini dağıtmadan önce kurbanların ağlarına erişimini ve dosyalara erişimi koruduktan sonra, ONEPERCENT, rastgele sekiz karakterli bir uzantı (örneğin DZCQCIA) kullanarak dosyaları şifreleyecek ve eşsiz olarak adlandırılan Ransom notlarını çete ile bağlantılı olarak ekleyecektir. Soğan web sitesi.
Mağdurlar, talep edilen fidye hakkında daha fazla bilgi edinmek, saldırganlarla pazarlık etmek ve "teknik destek" almak için Tor web sitesini kullanabilirler.
Mağdurların, çoğu durumda bitcoinlerde fidye ödemeleri istenecek, ödeme yapıldıktan sonra 48 saate kadar verilen bir şifre çözme anahtarı.
FBI'ye göre, Ransomware Affiliate de, bir şirket müzakerecisine bağlı olmadıkça, çalınan verileri sızdırmakla tehdit eden, sahte telefon numaralarını kullanarak mağdurlarına da ulaşacak.
FBI, "Ransomware fidye yazılımı başarılı bir şekilde konuşlandırıldıktan sonra, FNSOM Talepleri ile sahte telefon numaraları aracılığıyla telefon görüşmeleri almaya başlayacak ve FBI, daha fazla iletişim için bir protonmail e-posta adresi verilir" dedi.
"Aktörler kurban şirketinin belirlenmiş bir müzakereci ile konuşmayı talep edecek ya da çalınan verileri yayınlamak için tehdit edecek.
OnePercent Group operatörleri tarafından kullanılan uygulamalar ve hizmetler, AWS S3 Cloud, IceDid, Kobalt Strike, PowerShell, RClone, Mimikatz, Sharpkatz, BettersafetyKatz, Sharpsploit bulunur.
FBI'nin Flaş Uyarısı, yüzde bir grupta geçmiş saldırıları veya kullanılan şifreleme ile ilgili ayrıntılı bilgi sağlamaz, bunları belirli bir fidye yazılımı-AS servisinin bir ortaklığı olarak nitelendirmeyi zorlaştırır.
Bununla birlikte, ajans, yüzde bir grubu, mağdurlarının çalınan dosyalarını sızmakta ve açık artırmak için kullandıkları veri sızıntısı sitesi olan ünlü tekrar (Sodinokibi) Ransomware çetesine bağladı.
FBI, "Ransom" yüzde biri sızıntısından sonra "tam olarak ödenmezse, ONEPERCENT GRUBU aktörleri, bir açık artırmada yayınlamak için çalınan verileri Sodinokibi grubuna satmayı tehdit ediyor" dedi.
BleepingComputer, tehdit aktörünün muhtemelen bir "kartel" bir emekçi ortağı olduğunu, yani kendi saldırılarını ve ransomlarını gerçekleştirdiklerini ve yalnızca kendileri tarafından bir ödeme yapamadıklarında tekrar tekrar çalıştığını öğrendi.
2020 Haziran ayında, Labirent Ransomware çetesi, kurbanları lockbit olarak bilinen farklı bir fidyeware çetesi tarafından yayılan siteleriyle listelemeye başladı.
Labirenti, neden bunu yaptıklarını sorduğumuzda, BleepingComputer'a bilgi paylaşarak ve veri sızıntısı platformlarına erişim sağlayarak diğer gruplarla birlikte çalıştıklarını söylediler.
"Birkaç gün içinde, başka bir grup haber web sitemizde ortaya çıkacak, hepimiz bu işbirliğinde hem oyuncu grupları hem de şirketler için karşılıklı faydalı sonuçlara yol açan yoldan görüyoruz."
"Daha da fazla, sadece şirketlerin verilerini göndermek için platformumuzu değil, aynı zamanda deneyimimizi ve itibarımızı da kullanıyorlar, faydalı ve sağlam bir geleceği inşa ediyorlar. Diğer grupları, rakiplerimiz olarak değil, ortaklarımız olarak davranıyoruz. Kurumsal sorular her başarılı İş, "Labirent, BleepingComputer'a söyledi.
Bunu öğrendikten sonra, BleepingComputer "Ransomware Cartel" terimini, yakında birbirleriyle nasıl çalışmaya başladıklarını tanımlamak için kabul ettiği "Ransomware Cartel" terimini oluşturur.
FBI'nin IOC listesinde belirtilen komuta ve kontrol sunucuları (GoldDisco [.] Top ve June85 [.] CYou) ayrıca, Labirent ve Egregor Ransomware'i dağıtmak için IceDid'i kullanmak için bilinen UNC2198 tehdit aktörüne de işaret ediyor.
Aynı IOC'ler, 2021'den 2021'den itibaren aktif IceDID ağ altyapısındaki bir takım Cymru raporunda da bahsedildi.
Güncelleme 8/24/21: Olası "kartel" ortaklığı hakkında bilgi eklendi
ABD reddediyorsa, fidye yazılım çetelerine karşı eylem uyarıyor
ABD brokerleri, Finra'yı taklit eden devam eden kimlik avı saldırıları konusunda uyardı
CISA, Ransomware Veri İhlallerinin Nasıl Önleneceğine İlişkin Rehberliği Paylaşır
Kaseya'nın evrensel tekrar şifre çözme anahtarı bir hack forumunda sızdırılmış
Crytek, Egregor Ransomware saldırısını, müşteri veri hırsızlığını onaylar
Kaynak: Bleeping Computer