Beheer

Security
ransomware

FBI waarschuwt voor het eerst voor 'ransomware-partner'

OnePercent Group is al sinds november 2020 actief.

© Shutterstock BeeBright
25 augustus 2021

OnePercent Group is al sinds november 2020 actief.

De Amerikaanse FBI heeft een waarschuwing uitgegeven voor de OnePercent Group, een groep aanvallers die bestanden van slachtoffers versleutelen met ransomware en gestolen data dreigen te verkopen. De groep is mogelijk een zogeheten 'ransomware-partner': een partij die slachtoffers aanvalt en ransomware verspreidt, en in ruil daarvoor een percentage van de winst krijgt. Daarmee zou het de eerste keer zijn dat de FBI voor zo'n groep waarschuwt.

De OnePercent Group gebruikt de IceID Trojan en een achterdeurtje genaamd Cobalt Strike om binnen te komen in netwerken. Vervolgens versleutelt en steelt de groep data van het doelwit, en wordt een losgeldeis achtergelaten. 

Neemt een slachtoffer niet binnen een week contact op of wordt het losgeld niet op tijd betaald, dan neemt de groep telefonisch of per mail contact op en dreigen de aanvallers 1% van de data op het dark web te verkopen, schrijft The Record. Besluit een slachtoffer om ook na dat kleinere lek niet te betalen, dan dreigen de aanvallers om de gestolen data te veilen via de zogeheten Sodinokibi Group, die achter de REvil-ransomware zitten. 

De OnePercent Group is al sinds november 2020 actief en richt zich volgens de FBI op diverse bedrijven in de Verenigde Staten. 

Ransomware-partner

Bronnen uit de cybersecurity-industrie zeggen tegenover The Record dat OnePercent een 'ransomware affiliate', of 'ransomware-partner', is. Dit soort partijen huren toegang tot Ransomware-as-a-Service (RaaS) platformen en gebruiken die software om de bestanden van slachtoffers te versleutelen. Betaalt een slachtoffer het losgeld, dan krijgt de groep een commissie voor de succesvolle aanval. 

Hoewel de FBI alleen over de samenwerking met Sodinokibi spreekt, zeggen de bronnen van The Record dat de OnePercent Group in het verleden ook met de aanvalsgroepen achter de Maze- en Egregor-ransomware heeft samengewerkt. CSO Online merkt daarnaast op dat een deel van de indicatoren en technieken die de FBI beschrijft overlap hebben met een groep genaamd UNC2198, waar beveiligingsbedrijf FireEye in februari een artikel over publiceerde. UNC2198 is sinds juni 2020 actief en gebruikt ook de Maze- en Egregor-ransomware.

Overigens is de criminele groep REvil - en daarmee ook hun platform - in juli plots verdwenen. Inmiddels is er ook een decryptiesleutel vrijgegeven voor de ransomware, waarmee slachtoffers hun data kunnen ontsleutelen. En ook de Maze- en Egregor-operaties zijn offline gehaald. Of de OnePercent Group nog actief is, is onduidelijk. Mocht dat wel zo zijn, dan bestaat de kans dat ze overstappen op een nieuw RaaS-platform. 

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.