Sabemos que el ransomware OnePercent lleva activo en el mundo cibernético desde finales de 2020. Basado en operaciones de Ransomware as a Service (RaaS), el grupo detrás del ransomware OnePercent ha estado dirigiendo ataques a una serie de empresas en todo el mundo y en gran medida en los Estados Unidos.
Como muchos otros ransomware, OnePercent suele cifrar los datos de una empresa, amenazando con liberar o subastar la información recogida si no se produce el pago.
El procedimiento y algunas herramientas utilizadas por OnePercent son bien conocidos por la Oficina Federal de Investigación (FBI), que se ha interesado por el grupo desde el comienzo de sus ataques.
El ransomware OnePercent se basa en el troyano IceID para introducirse en los sistemas a través de campañas de phishing y correos electrónicos maliciosos. Después de esa invasión, buscan acceder al sistema infectado a través de Cobalt Strike.
Según el FBI, los hackers pueden permanecer en los sistemas de la víctima durante aproximadamente un mes. Durante esas semanas, el ransomware OnePercent se extiende por el entorno y extrae datos importantes.
Para ello, el grupo debe estar preparado con herramientas para actuar dentro del sistema y pasar desapercibido todo este tiempo. El ransomware OnePercent puede confiar en herramientas como MimiKatz, SharpKatz y BetterSafetyKatz, la biblioteca de post-explotación SharpSploit y el software de línea de comandos Rclone.
El grupo también tiene fama de adoptar un enfoque agresivo con sus víctimas para obtener el pago de rescates. Llaman a las víctimas utilizando números de teléfono falsos y les envían múltiples correos electrónicos si no han respondido a su petición de rescate en el plazo de una semana.
Además de los procedimientos utilizados y las diversas herramientas que intervienen en el proceso de encriptación, para las víctimas que se niegan a pagar rápidamente, el grupo responsable de OnePercent amenaza con hacer públicos los datos. Tras esta advertencia, si la víctima sigue negándose a pagar, los datos se transfieren al grupo REvil Sodinokibi para ser subastados.
La asociación entre estos dos grupos es preocupante y muy peligrosa, ya que REvil Sodinokibi es en realidad el ransomware más temido de la última década.
Ciertamente, en los casos de ataques de ransomware, es esencial que una empresa esté bien vigilada.
Recuperar los archivos encriptados por el ransomware OnePercent
A pesar de la exageración, la recuperación de los datos encriptados por el ransomware es posible y Digital Recovery se especializa en esta área. Con más de 23 años en el mercado de la recuperación de datos, hemos ayudado a cientos de empresas a recuperar su actividad.
Nuestras soluciones son únicas y nos permiten recuperar remotamente archivos encriptados en Servidores, Bases de Datos, Sistemas RAID, Máquinas Virtuales y otros.
Sabemos lo confidenciales y sensibles que pueden ser los datos de una empresa. Por ello, todas nuestras soluciones se basan en la Ley General Data Protection Regulation (GDPR) y, por supuesto, para garantizar la confidencialidad, ponemos a disposición de nuestros clientes un NDA (Non Disclosure Agreement).
A pesar de la complejidad del problema, Digital Recovery está aquí para ayudarle. No negocie con delincuentes. Póngase en contacto con nosotros y recupere sus datos.
