Η συμμορία ransomware της 8Base κλιμακώνει τις διπλές επιθέσεις εκβιασμού τον Ιούνιο
Related Posts
Μια συμμορία
ransomware
της 8Base στοχεύει οργανισμούς σε όλο τον κόσμο σε επιθέσεις διπλού εκβιασμού, με μια σταθερή ροή νέων θυμάτων από τις αρχές Ιουνίου.
Η συμμορία ransomware εμφανίστηκε για πρώτη φορά τον Μάρτιο του 2022, μένοντας σχετικά αθόρυβη με λίγες αξιοσημείωτες επιθέσεις.
Ωστόσο, τον Ιούνιο του 2023, η επιχείρηση ransomware σημείωσε άνοδο στη δραστηριότητα, στοχεύοντας πολλές εταιρείες σε διάφορους κλάδους και πραγματοποιώντας διπλό εκβιασμό.
Μέχρι στιγμής, η 8Base έχει καταγράψει 35 θύματα στον ιστότοπό της για εκβιασμούς στον σκοτεινό ιστό, με μερικές μέρες να ανακοινώνει έως και έξι θύματα ταυτόχρονα.
Αυτή είναι μια αξιοσημείωτη αύξηση σε σύγκριση με τον Μάρτιο και τον Απρίλιο, όταν η ομάδα απαριθμούσε μόνο λίγα θύματα, όπως φαίνεται στο παρακάτω γράφημα.
8Βασική δραστηριότητα από τον Μάρτιο του 2022
(VMware)
Το site διαρροής δεδομένων της συμμορίας
κυκλοφόρησε τον Μάιο του 2023
με τη συμμορία των εκβιαστών να ισχυρίζονται ότι είναι «τίμιοι και απλοί» πειρατές.
“Είμαστε ειλικρινείς και απλοί διεισδυτές. Προσφέρουμε στις εταιρείες τις πιο πιστές προϋποθέσεις για την επιστροφή των δεδομένων τους”, αναφέρει ο ιστότοπος διαρροής δεδομένων τους.
«Αυτή η λίστα περιέχει μόνο εκείνες τις εταιρείες που έχουν παραμελήσει το απόρρητο και τη σημασία των δεδομένων των υπαλλήλων και των πελατών τους».
8Βάση τοποθεσίας διαρροής δεδομένων στον σκοτεινό ιστό
.
Πηγή: BleepingComputer
Σύνδεσμοι με άλλες ομάδες ransomware
Σε ένα
νέα έκθεση
από την ομάδα Carbon Black της VMware, οι τακτικές που παρατηρήθηκαν στις πρόσφατες επιθέσεις της 8Base υποδεικνύουν ότι είναι ένα rebrand ενός καλά εδραιωμένου οργανισμού ransomware, πιθανώς RansomHouse.
Το RansomHouse είναι μια ομάδα εκβιαστών που ισχυρίζεται ότι δεν διεξάγει επιθέσεις κρυπτογράφησης, αλλά αντ’ αυτού συνεργάζεται με λειτουργίες ransomware για την πώληση των δεδομένων τους. Ωστόσο, η BleepingComputer γνωρίζει τους παράγοντες απειλών που χρησιμοποιούν ransomware σε επιθέσεις, όπως το White Rabbit ή το MARIO, το οποίο έχει επίσης συνδεθεί με την ομάδα εγκλήματος στον κυβερνοχώρο FIN8.
Το VMware suspects 8Base είναι ένα παρακλάδι του RansomHouse που βασίζεται στις πανομοιότυπες σημειώσεις λύτρων που χρησιμοποιούνται από τις δύο ομάδες και στην πολύ παρόμοια γλώσσα και περιεχόμενο που παρατηρείται σε αντίστοιχους ιστότοπους διαρροής, όπου ακόμη και οι σελίδες συχνών ερωτήσεων φαίνεται να έχουν επικολληθεί με αντιγραφή.
Σελίδες συχνών ερωτήσεων RansomHouse (αριστερά) και 8Base (δεξιά).
(VMware)
Ωστόσο, δεν υπάρχουν αρκετά στοιχεία για να καθοριστεί εάν το 8Base δημιουργήθηκε από μέλη του RansomHouse ή απλώς μια άλλη λειτουργία ransomware που αντιγράφει τα πρότυπα μιας καθιερωμένης ομάδας, κάτι που δεν είναι ασυνήθιστο να το δούμε μεταξύ των παραγόντων απειλών.
Από τεχνική άποψη, το 8Base χρησιμοποιεί μια προσαρμοσμένη έκδοση του ransomware Phobos v2.9.1, η οποία φορτώνεται μέσω του SmokeLoader.
Το Phobos είναι μια λειτουργία RaaS που στοχεύει τα
Windows
που εμφανίστηκε για πρώτη φορά το 2019 και μοιράζεται πολλές ομοιότητες κώδικα με τη λειτουργία ransomware Dharma.
Κατά την κρυπτογράφηση αρχείων, το ransomware θα προσαρτήσει το
.8βάση
επέκταση σε πρόσφατες επιθέσεις. Ωστόσο, ειδικός ransomware
Michael Gillespie
είπε στο BleepingComputer ότι οι υποβολές ransomware του Phobos
ID Ransomware
χρησιμοποίησε επίσης το
.οκτώ
επέκταση σε παλαιότερες επιθέσεις.
Το BleepingComputer διαπίστωσε ότι τόσο στις νεότερες επιθέσεις που προσαρτούν την επέκταση .8base όσο και στις παλαιότερες επιθέσεις επέκτασης .οκτώ, η ίδια διεύθυνση ηλεκτρονικού ταχυδρομείου επικοινωνίας “
” χρησιμοποιήθηκε ήδη από τον Ιούνιο του 2022.
Ένα άλλο αξιοσημείωτο εύρημα από τους αναλυτές της VMware είναι ότι η 8Base χρησιμοποιεί το “admlogs25[.]τομέας xyz” για φιλοξενία ωφέλιμου φορτίου, ο οποίος σχετίζεται με το SystemBC, ένα κακόβουλο λογισμικό διακομιστή μεσολάβησης που χρησιμοποιείται από διάφορες ομάδες ransomware που χρησιμοποιούν για τη συσκότιση του C2.
Αυτά τα ευρήματα δείχνουν ότι οι χειριστές 8Base πραγματοποιούν επιθέσεις κρυπτογράφησης για τουλάχιστον ένα χρόνο, αλλά μόλις πρόσφατα έκαναν όνομα μετά την κυκλοφορία του ιστότοπού τους για διαρροή δεδομένων.
Η 8Base μόλις τώρα αρχίζει να τραβάει την προσοχή των αναλυτών, έτσι πολλές πτυχές της τεχνικής φύσης της παραμένουν άγνωστες ή ασαφείς.
Η αναφορά της VMware περιέχει δείκτες συμβιβασμού (IoC) που μπορούν να χρησιμοποιήσουν οι υπερασπιστές για να προστατεύσουν τα συστήματά τους από αυτήν την αυξανόμενη απειλή.
