Nous savons que le ransomware OnePercent est actif dans le cybermonde depuis fin 2020. Basé sur des opérations de type “Ransomware as a Service” (RaaS), le groupe à l’origine du ransomware OnePercent a dirigé des attaques contre un certain nombre d’entreprises dans le monde et principalement aux États-Unis.
Comme beaucoup d’autres ransomwares, OnePercent crypte généralement les données d’une entreprise, menaçant de libérer ou de vendre aux enchères les informations recueillies si le paiement n’a pas lieu.
La procédure et certains outils utilisés par OnePercent sont bien connus du Federal Bureau of Investigation (FBI) qui s’intéresse au groupe depuis le début de ses attaques.
Le ransomware OnePercent s’appuie sur le cheval de Troie IceID pour s’introduire dans les systèmes par le biais de campagnes de phishing et d’e-mails malveillants. Après cette invasion, ils cherchent à obtenir un accès au système infecté via Cobalt Strike.
Selon le FBI, les pirates peuvent rester sur les systèmes de la victime pendant environ un mois. Au cours de ces semaines, le ransomware OnePercent se propage dans l’environnement et extrait des données importantes.
Pour ce faire, le groupe doit être préparé avec des outils pour agir à l’intérieur du système et ne pas être détecté pendant tout ce temps. Le ransomware OnePercent peut s’appuyer sur des outils tels que MimiKatz, SharpKatz et BetterSafetyKatz, la bibliothèque de post-exploitation SharpSploit et le logiciel de ligne de commande Rclone.
Le groupe a également la réputation d’adopter une approche agressive envers ses victimes pour obtenir le paiement de rançons. Ils appellent les victimes en utilisant de faux numéros de téléphone et leur envoient de multiples courriels si elles n’ont pas répondu à leur demande de rançon dans un délai d’une semaine.
Outre les procédures utilisées et les différents outils impliqués dans le processus de cryptage, pour les victimes qui refusent de payer rapidement, le groupe responsable de OnePercent menace de rendre les données publiques. Après cet avertissement, si la victime refuse toujours de payer, les données sont transférées au groupe REvil Sodinokibi pour être vendues aux enchères.
Le partenariat entre ces deux groupes est inquiétant et très dangereux car REvil Sodinokibi est en fait le ransomware le plus redouté de la dernière décennie.
Certes, en cas d’attaque par ransomware, il est essentiel qu’une entreprise soit bien surveillée.
Récupérer les fichiers cryptés par OnePercent ransomware
Malgré le battage médiatique, la récupération des données cryptées par un ransomware est possible et Digital Recovery est spécialisé dans ce domaine. Avec plus de 23 ans d’expérience sur le marché de la récupération des données, nous avons aidé des centaines d’entreprises à reprendre leurs activités.
Nos solutions sont uniques et nous permettent de récupérer à distance des fichiers cryptés sur des serveurs, des bases de données, des systèmes RAID, des machines virtuelles et autres.
Nous savons combien les données d’une entreprise peuvent être confidentielles et sensibles. Par conséquent, toutes nos solutions sont fondées sur la General Data Protection Regulation (GDPR) et, bien entendu, pour garantir la confidentialité, nous mettons un accord de non-divulgation à la disposition de nos clients.
Malgré la complexité du problème, Digital Recovery est là pour vous aider. Ne négociez pas avec les criminels ! Contactez nous et récupérez vos données.
