onepercent
Perfil del Actor
OnePercent Group es un operativo de ciberdelincuencia activo desde noviembre de 2020, con una especialidad en ataques a organizaciones estadounidenses. Este grupo se enfoca en la entrega de datos mediante técnicas como phishing y el uso de malware como IcedID, Cobalt Strike y estrategias de doble extorsión. La amenaza ha sido identificada por su táctica de amenazar con un "leak del 1%", seguido de una descarga completa o venta a REvil.
Origen y Motivación
El origen del actor no se ha revelado públicamente, aunque sus actividades se han centrado en objetivos financieros. La motivación principal parece ser el robo y la extorsión de datos sensibles, con un enfoque en empresas y organizaciones gubernamentales de Estados Unidos.
Técnicas y Tacticas (TTPs)
OnePercent utiliza técnicas como phishing para ganar acceso a sistemas. Una vez dentro, implementa malware como IcedID para mantener el control remoto y Cobalt Strike para operaciones posteriores. Su táctica de doble extorsión implica primero amenazar con un "leak del 1%", seguido de una venta o descarga completa. La colaboración con REvil (ahora conocida como DarkSide) sugiere una red de ciberdelincuencia interconectada.
Campanas Conocidas
El grupo ha sido vinculado a la operación DarkSide, un ransomware que ha causado daños significativos. En agosto de 2021, el FBI emitió una alerta oficial sobre actividades relacionadas con OnePercent, lo que refleja su impacto en la seguridad nacional.
Objetivos y Victimas
OnePercent se enfoca en organizaciones estadounidenses, especialmente empresas y gobiernos. Sus ataques buscan obtener acceso a datos críticos, con el fin de extorsionarlos o venderlos. Los objetivos incluyen infraestructuras clave y sistemas de información sensible.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
| DNS | 5mvifa3xq5m7sou3xzaajfz7h6eserp5fnkwotohns5pgbb5oxty3ad.onion | Domain utilizado en actividades de phishing y comunicación con IcedID. |
Detección y Defensa
Las organizaciones deben monitorear alertas de phishing y implementar herramientas de detección de amenazas (EDR). La colaboración con autoridades como el FBI es clave para mitigar riesgos. Se recomienda la actualización constante de sistemas y la educación sobre prácticas seguras de manejo de datos.