Les attaques de 8Base Ransomware augmentent en volume à la mi-2023

Selon des chercheurs de VMware Carbon Black, une menace de ransomware sous le radar connue sous le nom de 8Base a récemment connu une augmentation significative de son activité en mai et juin 2023. Ce groupe utilise des techniques de cryptage combinées à des tactiques de "nom et honte" pour contraindre leurs victimes à payer des rançons. Le rançongiciel 8Base a démontré un schéma opportuniste de compromission des cibles de diverses industries.

Les données collectées par Malwarebytes et NCC Group révèlent que 8Base a été lié à 67 attaques en mai 2023, avec environ la moitié des victimes appartenant aux secteurs des services aux entreprises, de la fabrication et de la construction. La majorité des organisations ciblées sont basées aux États-Unis et au Brésil.

Les origines de 8Base et l'identité de ses opérateurs restent mystérieuses, avec peu d'informations disponibles à leur sujet. Cependant, les chercheurs ont trouvé des similitudes frappantes entre 8Base et un autre groupe d'extorsion de données appelé RansomHouse. Le langage utilisé dans les notes de rançon et les pages d'accueil des portails de fuite de données des deux groupes est pratiquement identique, suggérant un lien ou une influence possible entre les deux.

Similitudes entre 8Base et Phobos

Bien que RansomHouse annonce ouvertement ses partenariats, 8Base ne le fait pas. De plus, il existe des différences dans leurs pages de fuite. Cependant, VMware a découvert un échantillon de rançongiciel Phobos qui utilise la même extension de fichier ".8base" pour les fichiers cryptés, ce qui soulève la possibilité que 8Base soit un successeur de Phobos ou que les attaquants exploitent les souches de rançongiciels existantes au lieu de développer leur propre casier personnalisé.

Les chercheurs soulignent que la rapidité et l'efficacité des opérations de 8Base indiquent la poursuite d'une organisation établie et mature plutôt que l'émergence d'un nouveau groupe. La relation entre 8Base, Phobos et RansomHouse n'est toujours pas claire et nécessite une enquête plus approfondie.

Outre 8Base, de nouveaux acteurs de rançongiciels tels que CryptNet, Xollam et Mallox sont entrés sur le marché, tandis que des familles bien connues comme BlackCat, LockBit et Trigona continuent d'améliorer leurs fonctionnalités et leurs chaînes d'attaque pour cibler les systèmes Linux et macOS en plus de Windows. .

Les analystes de la cybersécurité ont observé des cas où les acteurs de la menace ont utilisé BATLOADER pour distribuer Mallox, indiquant leurs efforts actifs pour affiner les tactiques pour une furtivité accrue et le maintien de leurs activités malveillantes.