Sabemos que o ransomware OnePercent está em atividade no mundo cibernético desde o final do ano de 2020. Baseado nas operações de Ransomware as a Service (RaaS), o grupo por trás do ransomware OnePercent vem direcionando ataques a diversas empresas pelo mundo e em grande parte nos Estados Unidos.
Assim como muitos outros ransomwares, o OnePercent costuma encriptar os dados de uma empresa, ameaçando divulgar ou vender em leilões as informações coletadas caso o pagamento não aconteça.
O procedimento e algumas ferramentas usadas pelo OnePercent são bem conhecidas pelo Federal Bureau of Investigation (FBI) que está interessado no grupo desde o começo de seus ataques.
O ransomware OnePercent conta com o trojan IceID para invadir os sistemas via campanhas de phishing e e-mails maliciosos. Após essa invasão, buscam obter um acesso ao sistema infectado através do Cobalt Strike.
De acordo com o FBI, os hackers podem permanecer nos sistemas da vítimas por aproximadamente um mês. Ao longo dessas semanas, o ransomware OnePercent se espalha pelo ambiente e extrai dados importantes.
Para isso, o grupo precisa estar preparado com ferramentas para agir dentro do sistema e passar despercebido todo esse tempo. O ransomware OnePercent pode contar com ferramentas como MimiKatz, SharpKatz e BetterSafetyKatz, a biblioteca SharpSploit de pós-exploração e o software de linha de comando Rclone.
O grupo também tem a fama de ter uma aproximação agressiva com suas vítimas na obtenção de pagamento de resgate. Eles ligam para as vítimas usando números de telefone falsos e enviam-lhes vários e-mails se não tiverem respondido ao seu pedido de resgate no prazo de uma semana.
Além dos procedimentos utilizados e das diversas ferramentas envolvidas no processo de encriptação, para as vítimas que se recusam a pagar rapidamente, o grupo responsável pelo OnePercent ameaça levar a público os dados. Após essa advertência, se a vítima ainda assim se recusa a pagar, os dados são transferidos para o grupo REvil Sodinokibi para serem leiloados.
A parceria entre esses dois grupos é preocupante e muito perigosa visto que o REvil Sodinokibi é na verdade o ransomware mais temido da última década.
Com certeza, em casos de ataques por ransomware, é essencial que uma empresa esteja bem acompanhada.
Recuperar arquivos encriptados por ransomware OnePercent
Apesar do que é falado a recuperação de dados encriptados por ransomware é possível e a Digital Recovery é especializada nessa área. Com mais de 23 anos no mercado de recuperação de dados, ajudamos centenas de empresas a retomarem suas atividades.
Nossas soluções são únicas e nos permitem recuperar à distância arquivos encriptados em Servidores, Banco de Dados, Sistemas RAID, Máquinas Virtuais e outros.
Sabemos o quão sigilosos e sensíveis podem ser dados de uma empresa. Por isso, todas as nossas soluções foram baseadas na Lei Geral de Proteção de Dados e claro, para uma confidencialidade garantida, colocamos um NDA (Non Disclosure Agreement) à disposição de nossos clientes.
Apesar da complexidade do problema, a Digital Recovery está aqui para te ajudar. Não negocie com criminosos! Entre em contato conosco e recupere seus dados.
