Ataques de ransomware 8Base aumentam em volume em meados de 2023

Uma ameaça de ransomware sob o radar conhecida como 8Base experimentou recentemente um aumento significativo na atividade durante maio e junho de 2023, de acordo com pesquisadores da VMware Carbon Black. Este grupo emprega técnicas de criptografia combinadas com táticas de "nome e vergonha" para coagir suas vítimas a pagar resgates. O ransomware 8Base demonstrou um padrão oportunista de comprometer alvos de vários setores.

Os dados coletados pela Malwarebytes e pelo NCC Group revelam que o 8Base foi vinculado a 67 ataques até maio de 2023, com aproximadamente metade das vítimas pertencentes aos setores de serviços empresariais, manufatura e construção. A maioria das organizações visadas está sediada nos Estados Unidos e no Brasil.

As origens do 8Base e as identidades de seus operadores permanecem misteriosas, com poucas informações disponíveis sobre eles. No entanto, os pesquisadores descobriram semelhanças impressionantes entre o 8Base e outro grupo de extorsão de dados chamado RansomHouse. A linguagem usada nas notas de resgate e nas páginas de boas-vindas dos portais de vazamento de dados de ambos os grupos é virtualmente idêntica, sugerindo uma possível conexão ou influência entre os dois.

Semelhanças entre 8Base e Phobos

Embora a RansomHouse anuncie abertamente suas parcerias, o 8Base não. Além disso, existem diferenças em suas páginas de vazamento. No entanto, a VMware descobriu uma amostra de ransomware Phobos que usa a mesma extensão de arquivo ".8base" para arquivos criptografados, levantando a possibilidade de que 8Base possa ser um sucessor de Phobos ou que os invasores estejam aproveitando as cepas de ransomware existentes em vez de desenvolver seu próprio armário personalizado.

Os pesquisadores enfatizam que a velocidade e a eficiência das operações da 8Base indicam a continuação de uma organização estabelecida e madura, e não o surgimento de um novo grupo. A relação entre 8Base, Phobos e RansomHouse ainda não está clara e requer mais investigação.

Além do 8Base, novos players de ransomware como CryptNet, Xollam e Mallox entraram no mercado, enquanto famílias conhecidas como BlackCat, LockBit e Trigona continuam aprimorando seus recursos e cadeias de ataque para atingir os sistemas Linux e macOS, além do Windows .

Os analistas de segurança cibernética observaram casos em que os agentes de ameaças empregaram o BATLOADER para distribuir o Mallox, indicando seus esforços ativos para refinar as táticas para aumentar a furtividade e a manutenção de suas atividades maliciosas.