Атаки программ-вымогателей 8Base растут в середине 2023 года

По словам исследователей из VMware Carbon Black, в мае и июне 2023 года в последнее время в мае и июне 2023 года наблюдался значительный рост активности скрытой от радаров программы-вымогателя, известной как 8Base. Эта группа использует методы шифрования в сочетании с тактикой «назови и пристыди», чтобы принудить своих жертв к выплате выкупа. Программа-вымогатель 8Base продемонстрировала оппортунистическую схему компрометации целей из различных отраслей.

Данные, собранные Malwarebytes и NCC Group, показывают, что 8Base был связан с 67 атаками по состоянию на май 2023 года, причем примерно половина жертв принадлежала к секторам бизнес-услуг, производства и строительства. Большинство целевых организаций базируются в США и Бразилии.

Происхождение 8Base и личности его операторов остаются загадкой, и о них мало информации. Однако исследователи обнаружили поразительное сходство между 8Base и другой группой по вымогательству данных под названием RansomHouse. Язык, используемый в заметках о выкупе и на приветственных страницах порталов утечки данных обеих групп, практически идентичен, что предполагает возможную связь или влияние между ними.

Сходства между 8Base и Phobos

Хотя RansomHouse открыто рекламирует свое партнерство, 8Base этого не делает. Кроме того, существуют различия в их страницах утечки. Однако VMware обнаружила образец программы-вымогателя Phobos, который использует то же расширение «.8base» для зашифрованных файлов, что повышает вероятность того, что 8Base может быть преемником Phobos или что злоумышленники используют существующие штаммы программы-вымогателя вместо разработки собственного пользовательского хранилища.

Исследователи подчеркивают, что скорость и эффективность операций 8Base свидетельствуют скорее о сохранении устоявшейся и зрелой организации, чем о появлении новой группы. Связь между 8Base, Phobos и RansomHouse до сих пор неясна и требует дальнейшего изучения.

Помимо 8Base, на рынок вышли новые игроки-вымогатели, такие как CryptNet, Xollam и Mallox, в то время как известные семейства, такие как BlackCat, LockBit и Trigona, продолжают улучшать свои функции и цепочки атак для систем Linux и macOS в дополнение к Windows. .

Аналитики кибербезопасности наблюдали случаи, когда злоумышленники использовали BATLOADER для распространения Mallox, что указывает на их активные усилия по совершенствованию тактики повышения скрытности и поддержания своей вредоносной деятельности.