Gli attacchi ransomware 8Base aumentano di volume a metà del 2023
Una minaccia ransomware nascosta nota come 8Base ha recentemente registrato un aumento significativo dell'attività nei mesi di maggio e giugno 2023, secondo i ricercatori di VMware Carbon Black. Questo gruppo utilizza tecniche di crittografia combinate con tattiche di "nome e vergogna" per costringere le vittime a pagare un riscatto. Il ransomware 8Base ha dimostrato un modello opportunistico di obiettivi compromettenti di vari settori.
I dati raccolti da Malwarebytes e NCC Group rivelano che 8Base è stato collegato a 67 attacchi a maggio 2023, con circa la metà delle vittime appartenenti ai settori dei servizi alle imprese, della produzione e delle costruzioni. La maggior parte delle organizzazioni prese di mira ha sede negli Stati Uniti e in Brasile.
Le origini di 8Base e le identità dei suoi operatori rimangono misteriose, con poche informazioni disponibili su di loro. Tuttavia, i ricercatori hanno trovato sorprendenti somiglianze tra 8Base e un altro gruppo di estorsione di dati chiamato RansomHouse. Il linguaggio utilizzato nelle note di riscatto e nelle pagine di benvenuto dei portali di fuga di dati di entrambi i gruppi è praticamente identico, suggerendo una possibile connessione o influenza tra i due.
Somiglianze tra 8Base e Phobos
Sebbene RansomHouse pubblicizzi apertamente le sue partnership, 8Base no. Inoltre, ci sono differenze nelle loro pagine di fuga. Tuttavia, VMware ha scoperto un campione di ransomware Phobos che utilizza la stessa estensione di file ".8base" per i file crittografati, aumentando la possibilità che 8Base possa essere un successore di Phobos o che gli aggressori stiano sfruttando ceppi di ransomware esistenti invece di sviluppare il proprio locker personalizzato.
I ricercatori sottolineano che la velocità e l'efficienza delle operazioni di 8Base indicano la continuazione di un'organizzazione consolidata e matura piuttosto che l'emergere di un nuovo gruppo. La relazione tra 8Base, Phobos e RansomHouse non è ancora chiara e richiede ulteriori indagini.
Oltre a 8Base, sono entrati nel mercato nuovi giocatori di ransomware come CryptNet, Xollam e Mallox, mentre famiglie note come BlackCat, LockBit e Trigona continuano a migliorare le loro funzionalità e le catene di attacchi per prendere di mira i sistemi Linux e macOS oltre a Windows .
Gli analisti della sicurezza informatica hanno osservato casi in cui gli attori delle minacce hanno utilizzato BATLOADER per distribuire Mallox, indicando i loro sforzi attivi per perfezionare le tattiche per una maggiore furtività e il mantenimento delle loro attività dannose.
