Η συμμορία ransomware 8Base στοχεύει οργανισμούς σε όλο τον κόσμο, με τις επιθέσεις να αυξάνονται από τις αρχές Ιουνίου.
Η συγκεκριμένη συμμορία ransomware εμφανίστηκε για πρώτη φορά τον Μάρτιο του 2022. Εκείνο το διάστημα, δεν είχε τραβήξει τα βλέμματα, καθώς είχε καταγράψει μόνο λίγες αξιοσημείωτες επιθέσεις.
Ωστόσο, από τις αρχές Ιουνίου, η επιχείρηση ransomware σημείωσε αυξημένη δραστηριότητα, στοχεύοντας πολλές εταιρείες σε διάφορους κλάδους και πραγματοποιώντας διπλό εκβιασμό (όπως οι περισσότερες ransomware ομάδες).
Μέχρι στιγμής, η ομάδα 8Base έχει καταγράψει 35 θύματα στον ιστότοπο διαρροής δεδομένων της. Μερικές ημέρες, εμφανίζονταν έξι ονόματα θυμάτων ταυτόχρονα. Αυτή είναι μια αξιοσημείωτη αύξηση σε σύγκριση με τον Μάρτιο και τον Απρίλιο.
Ο ιστότοπος διαρροής δεδομένων της συμμορίας εμφανίστηκε τον Μάιο του 2023, με τη συμμορία εκβιαστών να ισχυρίζεται ότι είναι “τίμιοι και απλοί” pentesters.
Δείτε επίσης: Σχεδόν 40% αύξηση στις επιθέσεις Ransomware παγκόσμια
“Είμαστε ειλικρινείς και απλοί pentesters. Προσφέρουμε στις εταιρείες τις πιο πιστές προϋποθέσεις για την επιστροφή των δεδομένων τους“, αναφέρει ο ιστότοπος διαρροής δεδομένων τους. “Αυτή η λίστα περιέχει μόνο εκείνες τις εταιρείες που έχουν παραμελήσει το απόρρητο και τη σημασία των δεδομένων των υπαλλήλων και των πελατών τους“.
Σχέση με άλλες ομάδες ransomware
Σε μια νέα αναφορά της ομάδας Carbon Black της VMware, οι ερευνητές αναφέρουν ότι οι πρόσφατες επιθέσεις της 8Base υποδεικνύουν ότι είναι ένα rebrand μιας άλλης ransomware επιχείρησης, ενδεχομένως της RansomHouse.
Η RansomHouse είναι μια ομάδα εκβιαστών που ισχυρίζεται ότι δεν διεξάγει επιθέσεις κρυπτογράφησης. Αντ’ αυτού συνεργάζεται με λειτουργίες ransomware για την πώληση των δεδομένων. Ωστόσο, σύμφωνα με το BleepingComputer, οι επιτιθέμενοι χρησιμοποιούν ransomware σε επιθέσεις τους, όπως το White Rabbit ή το MARIO, που έχει επίσης συνδεθεί με την ομάδα FIN8.
Δείτε επίσης: «Wagner» ransomware στοχεύει υπολογιστές στη Ρωσία
Οι ερευνητές της VMware υποπτεύονται ότι η ransomware ομάδα 8Base είναι ένα παρακλάδι της RansomHouse. Η υπόθεση αυτή βασίζεται στα πανομοιότυπα σημειώματα λύτρων που χρησιμοποιούν οι δύο ομάδες και στην πολύ παρόμοια γλώσσα και περιεχόμενο που παρατηρείται στους ιστότοπους διαρροής δεδομένων.
Ωστόσο, δεν είναι σίγουρο αν η 8Base δημιουργήθηκε όντως από μέλη της RansomHouse ή αν είναι απλώς μια άλλη λειτουργία ransomware που αντιγράφει τη RansomHouse.
Από τεχνική άποψη, η 8Base χρησιμοποιεί μια προσαρμοσμένη έκδοση του ransomware Phobos v2.9.1, η οποία φορτώνεται μέσω του SmokeLoader. Το Phobos είναι μια λειτουργία RaaS που στοχεύει Windows. Εμφανίστηκε για πρώτη φορά το 2019 και μοιράζεται πολλές ομοιότητες κώδικα με τη λειτουργία ransomware Dharma.
Σε πρόσφατες επιθέσεις, παρατηρήθηκε ότι κατά την κρυπτογράφηση αρχείων, το ransomware προσαρτούσε την επέκταση .8base.
Επιπλέον, οι αναλυτές της VMware βρήκαν ότι η 8Base χρησιμοποιεί το “admlogs25[.]xyz” domain για τη φιλοξενία payload, που σχετίζεται με το SystemBC, ένα proxy malware που χρησιμοποιείται από διάφορες ομάδες ransomware.
Αυτά τα ευρήματα δείχνουν ότι η ransomware συμμορία 8Base πραγματοποιούσε επιθέσεις κρυπτογράφησης για τουλάχιστον ένα χρόνο, αλλά μόλις πρόσφατα έγινε πιο γνωστή με την κυκλοφορία του site διαρροής δεδομένων.
Δείτε επίσης: Επιθέσεις MOVEit: Η Siemens Energy επιβεβαίωσε παραβίαση δεδομένων
Η 8Base τώρα αρχίζει να τραβάει την προσοχή των αναλυτών. Ως αποτέλεσμα δεν γνωρίζουμε πολλά για τις τεχνικές της ομάδας. Περισσότερες λεπτομέρειες μπορείτε να μάθετε στην έκθεση της VMware.
Το ransomware είναι μια σοβαρή απειλή για άτομα και επιχειρήσεις και είναι απαραίτητο να ληφθούν μέτρα για την προστασία από αυτό. Η πρόληψη είναι η καλύτερη προσέγγιση. Να διατηρείτε το λογισμικό σας ενημερωμένο, να είστε προσεκτικοί με τα μηνύματα ηλεκτρονικού ταχυδρομείου και τους συνδέσμους ιστότοπων και να δημιουργείτε τακτικά αντίγραφα ασφαλείας κρίσιμων δεδομένων. Κάνοντας τα παραπάνω, μπορείτε να μειώσετε τον κίνδυνο να πέσετε θύμα επίθεσης ransomware. Λαμβάνοντας προληπτικά μέτρα και έχοντας επίγνωση των πιο πρόσφατων απειλών, θα μπορείτε να διατηρήσετε τα δεδομένα σας ασφαλή και να παραμείνετε ένα βήμα μπροστά από τους πιθανούς εισβολείς.
Πηγή: www.bleepingcomputer.com
