8Base Ransomware-attacker ökar i volym i mitten av 2023
Ett under-radar ransomware-hot känt som 8Base har nyligen upplevt en betydande ökning i aktivitet under maj och juni 2023, enligt forskare från VMware Carbon Black. Denna grupp använder krypteringstekniker i kombination med "namn-och-skam"-taktik för att tvinga sina offer att betala lösensummor. 8Base ransomware har visat ett opportunistiskt mönster av att kompromissa med mål från olika branscher.
Data som samlats in av Malwarebytes och NCC Group avslöjar att 8Base har kopplats till 67 attacker i maj 2023, där ungefär hälften av offren tillhörde företagstjänster, tillverkning och byggsektorn. Majoriteten av de riktade organisationerna är baserade i USA och Brasilien.
Ursprunget till 8Base och identiteterna för dess operatörer är fortfarande mystiska, med lite information tillgänglig om dem. Forskarna har dock funnit slående likheter mellan 8Base och en annan datautpressningsgrupp som heter RansomHouse. Språket som används i lösensedlarna och välkomstsidorna på båda gruppernas dataläckageportaler är praktiskt taget identiskt, vilket tyder på en möjlig koppling eller påverkan mellan de två.
Likheter mellan 8Base och Phobos
Även om RansomHouse öppet annonserar om sina partnerskap gör inte 8Base det. Dessutom finns det skillnader i deras läckagesidor. VMware upptäckte dock ett Phobos ransomware-exempel som använder samma ".8base"-filtillägg för krypterade filer, vilket ökar möjligheten att 8Base kan vara en efterföljare till Phobos eller att angriparna utnyttjar befintliga ransomware-stammar istället för att utveckla sitt eget skåp.
Forskarna betonar att snabbheten och effektiviteten i 8Bases verksamhet tyder på en fortsättning av en etablerad och mogen organisation snarare än att en ny grupp uppstår. Förhållandet mellan 8Base, Phobos och RansomHouse är fortfarande oklart och kräver ytterligare utredning.
Förutom 8Base har nya ransomware-spelare som CryptNet, Xollam och Mallox kommit in på marknaden, medan välkända familjer som BlackCat, LockBit och Trigona fortsätter att förbättra sina funktioner och attackkedjor för att rikta in sig på Linux- och macOS-system förutom Windows .
Cybersäkerhetsanalytiker har observerat fall där hotaktörer har använt BATLOADER för att distribuera Mallox, vilket indikerar deras aktiva ansträngningar att förfina taktik för ökad smygsamhet och underhåll av deras skadliga aktiviteter.
