8Base Ransomware-angreb stiger i volumen i midten af 2023

En under-radaren ransomware-trussel kendt som 8Base har for nylig oplevet en betydelig stigning i aktivitet i løbet af maj og juni 2023, ifølge forskere fra VMware Carbon Black. Denne gruppe anvender krypteringsteknikker kombineret med "navn-og-skam"-taktik for at tvinge deres ofre til at betale løsesummer. 8Base ransomware har vist et opportunistisk mønster af kompromitterende mål fra forskellige industrier.

Data indsamlet af Malwarebytes og NCC Group afslører, at 8Base har været forbundet med 67 angreb i maj 2023, hvor omkring halvdelen af ofrene tilhører forretningsservice-, fremstillings- og byggesektoren. Størstedelen af de målrettede organisationer er baseret i USA og Brasilien.

Oprindelsen af 8Base og identiteterne på dens operatører forbliver mystiske, med lidt tilgængelig information om dem. Forskerne har dog fundet slående ligheder mellem 8Base og en anden dataafpresningsgruppe kaldet RansomHouse. Sproget, der bruges i løsesumsedlerne og velkomstsiderne på begge gruppers datalækageportaler, er stort set identisk, hvilket tyder på en mulig forbindelse eller indflydelse mellem de to.

Ligheder mellem 8Base og Phobos

Selvom RansomHouse åbent annoncerer for sine partnerskaber, gør 8Base det ikke. Derudover er der forskelle i deres lækagesider. VMware opdagede dog en Phobos ransomware-prøve, der bruger den samme ".8base" filtypenavn til krypterede filer, hvilket øger muligheden for, at 8Base kan være en efterfølger til Phobos, eller at angriberne udnytter eksisterende ransomware-stammer i stedet for at udvikle deres eget brugerdefinerede skab.

Forskerne understreger, at hastigheden og effektiviteten af 8Bases drift indikerer fortsættelsen af en etableret og moden organisation frem for fremkomsten af en ny gruppe. Forholdet mellem 8Base, Phobos og RansomHouse er stadig uklart og kræver yderligere undersøgelse.

Bortset fra 8Base er nye ransomware-spillere som CryptNet, Xollam og Mallox kommet på markedet, mens velkendte familier som BlackCat, LockBit og Trigona fortsætter med at forbedre deres funktioner og angribe kæder for at målrette Linux og macOS-systemer ud over Windows .

Cybersikkerhedsanalytikere har observeret tilfælde, hvor trusselsaktører har ansat BATLOADER til at distribuere Mallox, hvilket indikerer deres aktive bestræbelser på at forfine taktik for øget snighed og opretholdelse af deres ondsindede aktiviteter.