8Base Ransomware-angrep øker i volum i midten av 2023

En under-radaren løsepengevaretrussel kjent som 8Base har nylig opplevd en betydelig økning i aktivitet i løpet av mai og juni 2023, ifølge forskere fra VMware Carbon Black. Denne gruppen bruker krypteringsteknikker kombinert med "navn-og-skam"-taktikker for å tvinge ofrene sine til å betale løsepenger. 8Base løsepengevare har vist et opportunistisk mønster for å kompromittere mål fra ulike bransjer.

Data samlet inn av Malwarebytes og NCC Group avslører at 8Base har vært knyttet til 67 angrep per mai 2023, med omtrent halvparten av ofrene som tilhører forretningstjenester, produksjon og byggesektoren. Flertallet av de målrettede organisasjonene er basert i USA og Brasil.

Opprinnelsen til 8Base og identiteten til operatørene forblir mystiske, med lite informasjon tilgjengelig om dem. Forskerne har imidlertid funnet slående likheter mellom 8Base og en annen datautpressingsgruppe kalt RansomHouse. Språket som brukes i løsepengene og velkomstsidene til begge gruppenes datalekkasjeportaler er praktisk talt identiske, noe som antyder en mulig sammenheng eller påvirkning mellom de to.

Likheter mellom 8Base og Phobos

Selv om RansomHouse åpent annonserer partnerskapene sine, gjør ikke 8Base det. I tillegg er det forskjeller i lekkasjesidene deres. Imidlertid oppdaget VMware en Phobos løsepengevareprøve som bruker den samme ".8base" filtypen for krypterte filer, noe som øker muligheten for at 8Base kan være en etterfølger til Phobos eller at angriperne utnytter eksisterende løsepengevarestammer i stedet for å utvikle sitt eget tilpassede skap.

Forskerne understreker at hastigheten og effektiviteten i 8Bases operasjoner indikerer fortsettelsen av en etablert og moden organisasjon snarere enn fremveksten av en ny gruppe. Forholdet mellom 8Base, Phobos og RansomHouse er fortsatt uklart og krever videre etterforskning.

Bortsett fra 8Base har nye ransomware-spillere som CryptNet, Xollam og Mallox kommet inn på markedet, mens kjente familier som BlackCat, LockBit og Trigona fortsetter å forbedre funksjonene sine og angripe kjeder for å målrette Linux og macOS-systemer i tillegg til Windows .

Cybersikkerhetsanalytikere har observert tilfeller der trusselaktører har ansatt BATLOADER for å distribuere Mallox, noe som indikerer deres aktive innsats for å avgrense taktikk for økt sniking og opprettholdelse av deres ondsinnede aktiviteter.