La cyberdivision du Federal Bureau of Investigation (FBI) a publié un « flash » (pdf) le 23 août où sont décrites les méthodes de l’organisation OnePercent Group. Active depuis novembre 2020, elle est spécialisée dans les cyberattaques par rançongiciel.

La méthodologie classique du pirate par rançongiciel

D’après The Record, il s’agirait du premier flash du FBI sur un « ransomware affilié ». Depuis quelque temps déjà les pirates spécialisés dans le rançongiciel ont opéré une division des tâches. Ici, OnePercent loue à un tiers un Ransomware-as-a-Service, qui s’en serve pour mener l’attaque. Le groupe touche ensuite une commission sur les extorsions réussies.

OnePercent s’introduit dans un système via la traditionnelle technique de l’hameçonnage (phishing), un mail qui contient une pièce jointe sous forme de zip vérolé. Ce dernier contient un cheval de Troie qui télécharge un logiciel, Cobalt Strike, et qui va se propager dans tout le système ciblé.

Toujours aussi typiques d’un rançongiciel, surtout des plus récents, des données vont être extraites vers les pirates puis le système de la cible chiffré, une fois le logiciel malveillant déployé. Le FBI indique qu’il a déjà été repéré dans un système un mois avant de se signaler aux usagers du réseau.

Les victimes sont contactées par une adresse ProtonMail ou par téléphone, via un numéro usurpé. Un négociateur est demandé ainsi qu'une rançon en bitcoin, en échange d'une clef de déchiffrage promise dans les 24h à 48h.

C’est de cette étape que OnePercent tire son nom, pour faire monter la pression le groupe publie 1% des données volées au cours de l’opération. Si le paiement de la rançon n’arrive pas, les pirates vendent les données sur un site prévu à cet effet, développé par REvil, l’un des plus grands groupes de rançongiciel, disparu en juillet 2021.

Les 1% déjà sous les verrous ?

Selon le site spécialisé en cybersécurité Zataz, OnePercent n’est pas très connu dans le milieu du rançongiciel. La publication par le FBI de notes similaires sur les groupes Egregor et Netwalker a précédé de peu l’annonce de leur arrestation par l’agence américaine.

Pour le moment, le FBI n’a pas donné d’indication sur une éventuelle enquête, ni même sur l’activité actuelle du groupe.