«Партнерские программы» вымогателей устроены весьма просто: разработчики малвари занимаются непосредственно вредносом и платежными сайтами, а их наемные «партнеры» взламывают сети жертв и шифруют конечные устройства. В итоге выкупы, полученные от жертв, распределяются между авторами шифровальщика и их «партнерами», причем последние обычно получают 70-80% от общей суммы.
ФБР сообщает, что OnePercent обычно применяет следующую тактику в своих атаках:
- использует фишинговые письма для заражения жертв трояном IcedID;
- использует троян IcedID для развертывания дополнительных полезных нагрузок в зараженных сетях;
- применяет Cobalt Strike для бокового перемещения по сети жертвы;
- задействует RClone для хищения конфиденциальных данных с серверов жертвы;
- шифрует данные и требует выкуп;
- звонит или пишет своим жертвам по электронной почте, чтобы угрозами вынудить пострадавших заплатить выкуп (в противном случае хакеры угрожают обнародовать украденную информацию).
В целом в инструментарий OnePercent входят AWS S3, IcedID, Cobalt Strike, Powershell, Rclone, Mimikatz, SharpKatz, BetterSafetyKatz, SharpSploit и так далее.
Хотя ФБР не сообщает, с какими вымогателями сотрудничает OnePercent, собственные источники в области ИБ сообщили журналистам издания , что группировка давно сотрудничает с операторами вымогателей REvil (Sodinokibi), Maze и Egregor. Кроме того, доменные имена, использованные хакерами для размещения трояна IcedID, тоже связаны с , если судить по отчету компании FireEye, которая отслеживает OnePercent под кодовым именем UNC2198.
Источник:
