به گزارش کارگروه بینالملل سایبربان؛ بخش سایبری پلیس فدرال آمریکا نسبت به یک گروه سازمانیافته جرائم سایبری که خود را وان پرسنت مینامد هشدار فوری داد.
پلیس فدرال آمریکا در هشدار منتشرشده روز دوشنبه خود اعلام کرد که این گروه از نوامبر 2020 شرکتهای ایالاتمتحده را هدف قرار داده است.
این گروه از یک نرم افزار شبیهساز تهدید به نام کوبالت استرایک (Cobalt Strike) برای تداوم حملات باج افزاری خود استفاده میکند. روند نفوذ از صندوق ورودی قربانی آغاز میشود.
پلیس فدرال در هشدار خود حملات گروه وان پرسنت را چنین تشریح کرد:
عوامل این گروه از طریق یک ایمیل فیشینگ که حاوی پیوست است قربانیان را هک میکنند و این پیوست سیستم قربانیان را با تروجان بانکی آیسد آی دی (IcedID) آلوده میکند.
پیوست مخرب به عنوان یک فایل زیپ که شامل اسناد وورد و اکسل است ظاهر میشود. پس از فعال شدن، تروجان بانکی نرم افزار بعدی که کوبالت استرایک باشد را بر روی کامپیوتر قربانی بارگیری می کند و عمدتا با حذف برنامه پاورشل (PowerShell) به طور جانبی در شبکه حرکت میکند.
این گروه پس از دسترسی به سیستم قربانی داده ها را رمزگذاری میکند و آنها را با کمک برنامه آرکلون (rclone) از سیستم قربانی خارج میکند و قربانی تنها با یک یادداشت باقی میماند که به او میگوید برای تماس با این گروه باج افزاری یک هفته مهلت دارد.
روش اخاذی عوامل این گروه همیشه با یک هشدار شروع میشود و با نشت جزئی و سپس نشت کامل داده های قربانی ادامه مییابد.
در صورت عدم برقراری تماس از سوی قربانی، این گروه از طریق آدرس ایمیل پورتون میل (ProtonMail) یا با استفاده از یک شماره تلفن جعلی با قربانی ارتباط برقرار میکند و به قربانیان گفته میشود در صورت عدم پرداخت باج، بخش کوچکی از داده های آنها از طریق شبکه اونیون روتر (The Onion Router) و کلییرنت (clearnet) منتشر خواهد شد.
اگر قربانی پس از نشت یک درصدی اطلاعاتش باج ندهد، گروه باج افزاری وان پرسنت قربانی را تهدید میکند که اطلاعات او را به گروه باج افزاری سودینوکیبی (Sodinokibi) یا همان رویل میفروشد تا آنها را در یک حراجی منتشر کند.
پلیس فدرال آمریکا در انتها به شرکتهای آمریکایی هشدار داد از داده های مهم خود بهصورت آفلاین پشتیبان گیری کرده و برای محافظت از خود در برابر حملات باج افزاری از احراز هویت چند عاملی با رمز عبور قوی استفاده کنند.
