Ataki 8Base ransomware przybierają na sile w połowie 2023 r

Zdaniem badaczy z VMware Carbon Black, w maju i czerwcu 2023 r. niezauważalne zagrożenie ransomware, znane jako 8Base, odnotowało znaczny wzrost aktywności. Ta grupa stosuje techniki szyfrowania w połączeniu z taktykami „nazwiska i wstydu”, aby zmusić swoje ofiary do zapłacenia okupu. Oprogramowanie ransomware 8Base wykazało oportunistyczny wzorzec atakowania celów z różnych branż.

Dane zebrane przez Malwarebytes i NCC Group ujawniają, że 8Base był powiązany z 67 atakami według stanu na maj 2023 r., a około połowa ofiar należała do sektorów usług biznesowych, produkcji i budownictwa. Większość docelowych organizacji ma siedziby w Stanach Zjednoczonych i Brazylii.

Pochodzenie 8Base i tożsamość jego operatorów pozostają tajemnicze, a dostępnych informacji na ich temat jest niewiele. Jednak naukowcy odkryli uderzające podobieństwa między 8Base a inną grupą wyłudzającą dane o nazwie RansomHouse. Język używany w żądaniach okupu i stronach powitalnych portali wycieku danych obu grup jest praktycznie identyczny, co sugeruje możliwy związek lub wpływ między nimi.

Podobieństwa między 8Base a Phobosem

Chociaż RansomHouse otwarcie reklamuje swoje partnerstwa, 8Base tego nie robi. Ponadto istnieją różnice w ich stronach przecieków. Jednak firma VMware wykryła próbkę oprogramowania ransomware Phobos, która wykorzystuje to samo rozszerzenie pliku „.8base” dla zaszyfrowanych plików, co zwiększa prawdopodobieństwo, że 8Base może być następcą Phobos lub że atakujący wykorzystują istniejące odmiany oprogramowania ransomware zamiast opracowywać własne niestandardowe szafki.

Badacze podkreślają, że szybkość i skuteczność działania 8Base wskazuje raczej na kontynuację ugruntowanej i dojrzałej organizacji niż na powstanie nowej grupy. Związek między 8Base, Phobos i RansomHouse jest nadal niejasny i wymaga dalszych badań.

Oprócz 8Base na rynek weszli nowi gracze ransomware, tacy jak CryptNet, Xollam i Mallox, podczas gdy dobrze znane rodziny, takie jak BlackCat, LockBit i Trigona, nadal ulepszają swoje funkcje i łańcuchy ataków, aby atakować systemy Linux i macOS oprócz Windows .

Analitycy ds. cyberbezpieczeństwa zaobserwowali przypadki, w których cyberprzestępcy wykorzystywali BATLOADER do dystrybucji Malloxa, wskazując na ich aktywne wysiłki mające na celu udoskonalenie taktyki w celu zwiększenia ukrywania się i utrzymania złośliwych działań.