8Base Ransomware-aanvallen nemen medio 2023 toe in volume
Volgens onderzoekers van VMware Carbon Black heeft een under-the-radar ransomware-dreiging, bekend als 8Base, onlangs een aanzienlijke toename in activiteit ervaren in mei en juni 2023. Deze groep maakt gebruik van versleutelingstechnieken in combinatie met "name-and-shame"-tactieken om hun slachtoffers te dwingen losgeld te betalen. De 8Base-ransomware heeft een opportunistisch patroon laten zien van compromitterende doelen uit verschillende industrieën.
Uit gegevens verzameld door Malwarebytes en NCC Group blijkt dat 8Base sinds mei 2023 in verband is gebracht met 67 aanvallen, waarbij ongeveer de helft van de slachtoffers behoren tot de zakelijke dienstverlening, productie en bouwsector. De meeste van de beoogde organisaties zijn gevestigd in de Verenigde Staten en Brazilië.
De oorsprong van 8Base en de identiteit van de operators blijven mysterieus en er is weinig informatie over beschikbaar. De onderzoekers hebben echter opvallende overeenkomsten gevonden tussen 8Base en een andere data-afpersingsgroep genaamd RansomHouse. De taal die wordt gebruikt in de losgeldnota's en de welkomstpagina's van de datalekportalen van beide groepen is vrijwel identiek, wat een mogelijk verband of invloed tussen de twee suggereert.
Overeenkomsten tussen 8Base en Phobos
Hoewel RansomHouse openlijk reclame maakt voor zijn partnerschappen, doet 8Base dat niet. Bovendien zijn er verschillen in hun lekpagina's. VMware ontdekte echter een voorbeeld van Phobos-ransomware dat dezelfde ".8base"-bestandsextensie gebruikt voor versleutelde bestanden, waardoor de mogelijkheid ontstaat dat 8Base een opvolger is van Phobos of dat de aanvallers gebruik maken van bestaande ransomware-stammen in plaats van hun eigen aangepaste locker te ontwikkelen.
De onderzoekers benadrukken dat de snelheid en efficiëntie van de operaties van 8Base eerder wijzen op de voortzetting van een gevestigde en volwassen organisatie dan op de opkomst van een nieuwe groep. De relatie tussen 8Base, Phobos en RansomHouse is nog onduidelijk en vereist nader onderzoek.
Afgezien van 8Base zijn er nieuwe ransomware-spelers zoals CryptNet, Xollam en Mallox op de markt gekomen, terwijl bekende families zoals BlackCat, LockBit en Trigona hun functies en aanvalsketens blijven verbeteren om zich naast Windows te richten op Linux- en macOS-systemen .
Cyberbeveiligingsanalisten hebben gevallen waargenomen waarin bedreigingsactoren BATLOADER hebben gebruikt om Mallox te verspreiden, waarmee ze hun actieve inspanningen aangeven om tactieken te verfijnen voor meer onopvallendheid en het behoud van hun kwaadaardige activiteiten.
