Группа, известная под названиями OnePercent и 1Percent, занимается вымогательством по крайней мере с ноября 2020 года. Она отличается особой агрессивностью в требовании выкупа — вымогатели звонят жертвам с поддельных телефонных номеров и рассылают письма, если жертва не ответила на первоначальное требование.
Для доступа в компьютерные сети компаний группа использует троянскую программу IceID. Эта программа сначала применялась для кражи паролей к учетным записям интернет-банков, но затем, подобно многим другим троянским программам, стала платформой доступа для вымогателей. IceID распространяется через электронные письма с приложениями в виде zip-архивов с документами в формате Word с вредоносными макросами.
После заражения компьютера злоумышленники используют известную коммерческую программу Cobalt Strike для поиска дальнейших уязвимостей и распространения по внутренней сети компании. Перед шифрованием данных они тщательно изучают сеть — от проникновения до требования выкупа часто проходит около месяца, а затем требуют выкуп, угрожая опубликовать похищенные данные или продать их на аукцион известной группе REvil/Sodinokibi.