8Base-Ransomware-Angriffe nehmen Mitte 2023 an Volumen zu
Laut Forschern von VMware Carbon Black verzeichnete eine unter dem Radar liegende Ransomware-Bedrohung namens 8Base kürzlich im Mai und Juni 2023 einen deutlichen Anstieg ihrer Aktivität. Diese Gruppe nutzt Verschlüsselungstechniken in Kombination mit „Name-and-Shame“-Taktiken, um ihre Opfer zur Zahlung von Lösegeld zu zwingen. Die 8Base-Ransomware hat ein opportunistisches Muster bei der Kompromittierung von Zielen aus verschiedenen Branchen gezeigt.
Von Malwarebytes und NCC Group gesammelte Daten zeigen, dass 8Base bis Mai 2023 mit 67 Angriffen in Verbindung gebracht wurde, wobei etwa die Hälfte der Opfer aus den Bereichen Unternehmensdienstleistungen, Fertigung und Bau stammten. Die Mehrheit der Zielorganisationen hat ihren Sitz in den Vereinigten Staaten und Brasilien.
Die Ursprünge von 8Base und die Identität seiner Betreiber bleiben rätselhaft, es sind nur wenige Informationen über sie verfügbar. Allerdings haben die Forscher auffällige Ähnlichkeiten zwischen 8Base und einer anderen Datenerpressergruppe namens RansomHouse festgestellt. Die in den Lösegeldforderungen und auf den Willkommensseiten der Datenleckportale beider Gruppen verwendete Sprache ist nahezu identisch, was auf eine mögliche Verbindung oder einen möglichen Einfluss zwischen beiden schließen lässt.
Ähnlichkeiten zwischen 8Base und Phobos
Obwohl RansomHouse seine Partnerschaften offen bewirbt, tut 8Base dies nicht. Darüber hinaus gibt es Unterschiede bei den Leak-Seiten. Allerdings hat VMware ein Phobos-Ransomware-Beispiel entdeckt, das die gleiche Dateierweiterung „.8base“ für verschlüsselte Dateien verwendet, was die Möglichkeit erhöht, dass 8Base ein Nachfolger von Phobos sein könnte oder dass die Angreifer bestehende Ransomware-Stämme ausnutzen, anstatt ihren eigenen benutzerdefinierten Locker zu entwickeln.
Die Forscher betonen, dass die Geschwindigkeit und Effizienz der Geschäftstätigkeit von 8Base eher auf den Fortbestand einer etablierten und ausgereiften Organisation als auf die Entstehung einer neuen Gruppe schließen lässt. Die Beziehung zwischen 8Base, Phobos und RansomHouse ist noch unklar und bedarf weiterer Untersuchungen.
Neben 8Base sind neue Ransomware-Spieler wie CryptNet, Xollam und Mallox auf den Markt gekommen, während bekannte Familien wie BlackCat, LockBit und Trigona ihre Funktionen und Angriffsketten weiter verbessern, um neben Windows auch Linux- und macOS-Systeme anzugreifen .
Cybersicherheitsanalysten haben Fälle beobachtet, in denen Bedrohungsakteure BATLOADER zur Verbreitung von Mallox eingesetzt haben, was auf ihre aktiven Bemühungen hindeutet, Taktiken für mehr Heimlichkeit und die Aufrechterhaltung ihrer böswilligen Aktivitäten zu verfeinern.
