En perpétuelle évolution, l’écosystème des ransomwares inquiète les autorités américaines. Le FBI a notamment dans le viseur un groupe se dénommant OnePercent ou 1Percent. Le gang exploite le cheval de Troie IceID et l’outil Cobalt Strike pour s'introduire dans les réseaux. Comme de nombreux autres groupes de ransomware très médiatisés, OnePercent chiffre et vole des données d'entreprise, menaçant les victimes de divulguer ou de vendre aux enchères leurs informations en cas de non-paiement de la rançon.

Le gang, actif au moins depuis le mois de novembre 2020, a ciblé plusieurs entreprises aux États-Unis. Ses membres se montrent aussi particulièrement agressifs pour obtenir le paiement de la rançon. Ils appellent les victimes en utilisant des numéros de téléphone usurpés et leur envoient de multiples courriels si elles n’ont pas répondu pas à leur demande de rançon au bout d’une semaine.

Le phishing mène à IceID et Cobalt Strike

Le groupe OnePercent s'appuie sur le trojan IceID pour s’introduire dans les réseaux. Conçu à l'origine pour voler des informations d'identification bancaires en ligne, IceID a été, comme beaucoup d'autres trojan, détourné pour servir de plateforme d'accès pour les groupes de ransomware. Des relations similaires ont été observées par le passé entre le cheval de Troie bancaire TrickBot et le groupe de ransomware Ryuk, Dridex et WastedLocker ou Gootkit et REvil (Sodinokibi). IceID est distribué via des campagnes de phishing et des courriels contenant des pièces jointes zip malveillantes. Les archives zip contiennent des documents Word avec des macros malveillantes qui, si on les laisse s'exécuter, téléchargent et installent IceID. Après cette infection initiale, les attaquants déploient Cobalt Strike, un outil de pentest officiel largement adopté ces dernières années par de nombreux cybercriminels qui l’utilisent pour obtenir un accès aux systèmes infectés et pour se déplacer latéralement dans le réseau à l'aide de scripts PowerShell.

Un gang bien outillé

Avant de chiffrer les données, les attaquants OnePercent peuvent passer beaucoup de temps à l'intérieur du réseau de la victime, étendant leur accès et exfiltrant les données intéressantes qu'ils y trouvent. « Certains pirates ont séjourné dans le réseau de la victime pendant environ un mois avant de déployer le ransomware », a indiqué le FBI dans son alerte publiée lundi. Pendant cette période, ils utilisent divers outils open source, notamment MimiKatz, qui permet aux utilisateurs de voir et enregistrer des informations d’authentification et les programmes associés SharpKatz et BetterSafetyKatz, la bibliothèque de post-exploitation SharpSploit écrite en .NET et l'utilitaire de ligne de commande rclone. Rclone permet de gérer des fichiers sur des services cloud, et dans ce cas, il est utilisé pour exfiltrer les données des victimes. Le FBI conseille aux entreprises d'ajouter les hachages des différents binaires rclone à leurs programmes de détection de logiciels malveillants.

Une méthode d’extorsion proche du harcèlement

La demande de rançon du groupe OnePercent dirige les victimes vers un site Web hébergé sur le réseau anonyme Tor, où elles peuvent consulter le montant de la rançon et contacter les attaquants via un chat en direct. La demande comprend également une adresse Bitcoin où la rançon doit être payée. Si les victimes ne paient pas ou ne contactent pas les attaquants dans un délai d'une semaine, le groupe essaye de les contacter par téléphone et par courriels qu’ils envoient depuis des adresses ProtonMail. « Les acteurs demandent constamment à parler avec le négociateur désigné de l'entreprise victime ou menacent de publier les données volées », a déclaré le FBI. « Si l'entreprise victime ne répond pas, les acteurs menacent l’entreprise victime de publier les données volées en utilisant la même adresse électronique ProtonMail ». L'extorsion comporte différents niveaux. Si la victime ne paye pas rapidement, le groupe menace de rendre publique une partie des données et si la rançon n'est pas payée après cette mise en garde, les attaquants transfèrent les données au groupe REvil/Sodinokibi pour qu'elles soient mises aux enchères.

Outre son lien avec REvil, OnePercent est peut-être lié à d'autres opérations de ransomware-as-a-service (RaaS) antérieures. Certains des indicateurs de compromission et des techniques de OnePercent publiés dans l'avis du FBI recoupent les indicateurs de compromission (IoC) publiés par FireEye en février pour un groupe suivi sous le nom de UNC2198. D'après l'analyse de la société américaine, les intrusions de UNC2198 remontent à juin 2020 et impliquent également le déploiement des ransomwares Maze et Egregor. OnePercent pourrait donc être ce que l'on appelle, dans l'écosystème du ransomware, un affilié - un groupe qui s'occupe de la compromission des victimes et de la distribution du ransomware et qui partage une partie des bénéfices avec les créateurs du programme de ransomware.