8BASE
Grazie al sapiente ricorso a tattiche di doppia estorsione e a un repertorio che comprende varianti modificate di noti ransomware come Phobos, 8Base ha orchestrato gravi incidenti informatici, colpendo numerose organizzazioni in tutto il mondo con le sue strategie incessanti e in continua evoluzione.
L'origine di 8Base
Apparso nel marzo 2022, il gruppo di ransomware 8Base è rimasto inizialmente relativamente inattivo dopo i primi attacchi. Tuttavia, tra la metà di maggio e giugno 2023, ha registrato un significativo aumento dell’attività, prendendo di mira organizzazioni in vari settori e mietendo 131 vittime in soli tre mesi. 8Base si distingue per l'impiego di tattiche di doppia estorsione, un metodo che ha guadagnato popolarità tra i criminali informatici per la sua efficacia nell'esercitare pressione sulle vittime. Nel marzo 2023, ha lanciato il proprio sito di divulgazione dei dati, promuovendo un'immagine di onestà e semplicità nelle proprie comunicazioni.
L'origine e l'intera gamma delle attività, delle metodologie e delle motivazioni alla base del gruppo rimangono in gran parte avvolte nel mistero. È interessante notare che 8Base non dispone di un proprio ransomware sviluppato internamente. I ricercatori hanno invece scoperto che il gruppo utilizza generatori di ransomware trapelati — come la variante del ransomware Phobos, che hanno modificato per aggiungere l'estensione «.8base» ai file crittografati — per personalizzare le richieste di riscatto e far passare gli attacchi come operazioni proprie. VMware ha pubblicato un rapporto in cui evidenzia le somiglianze tra 8Base e il gruppo di ransomware RansomHouse, sottolineando le analogie nei loro siti web e nelle note di riscatto. In alcuni ambienti della sicurezza informatica prevale la convinzione che l'infrastruttura di 8Base sia stata sviluppata utilizzando il generatore Babuk trapelato — un set di strumenti trapelato da un'altra nota operazione di ransomware — mentre altri ritengono che si tratti di una costola di RansomHouse.
Nel febbraio 2025, un' importante operazione internazionale delle forze dell'ordine ha portato all'arresto di quattro cittadini russi coinvolti nel gruppo 8Base. L'operazione, che ha preso di mira anche il ransomware Phobos, ha portato al sequestro di 27 server collegati alla loro rete. Questa azione si inserisce in una tendenza crescente di sforzi coordinati da parte delle autorità globali per contrastare le operazioni di ransomware, con Europol che svolge un ruolo fondamentale nel facilitare lo scambio di informazioni e la cooperazione transfrontaliera.
Paesi in cui opera 8Base
8base si è rivolta principalmente ad aziende con sede negli Stati Uniti, in Brasile e nel Regno Unito.
Settori di riferimento di 8Base
8Base ha concentrato i propri attacchi principalmente sulle piccole e medie imprese (PMI) operanti in diversi settori.
Il gruppo ha mostrato un particolare interesse per settori quali i servizi alle imprese, la finanza, l'industria manifatturiera e l'informatica.
Questo tipo specifico di attacco potrebbe derivare dalla convinzione che le aziende operanti in questi settori siano più propense a pagare riscatti ingenti, oppure dal fatto che i dati in loro possesso siano considerati più sensibili o preziosi.
Fonte: SOCRadar
Le vittime di 8Base
Il metodo di attacco di 8Base
Gli hacker di 8Base spesso avviavano i propri attacchi lanciando phishing per diffondere payload nascosti o utilizzando strumenti come Angry IP Scanner per individuare e sfruttare le porte vulnerabili del protocollo RDP (Remote Desktop Protocol).
Hanno utilizzato attacchi di forza bruta per accedere ai servizi RDP esposti, per poi effettuare ricerche volte a tracciare il profilo delle loro vittime e stabilire connessioni con gli indirizzi IP presi di mira.
8Base ha rafforzato il proprio controllo sui sistemi compromessi ricorrendo all'usurpazione di identità e al furto di token.
Questa tecnica prevede la manipolazione dei token di sistema tramite la funzione DuplicateToken(), consentendo agli aggressori di elevare i propri privilegi in modo discreto.
Questo passaggio fondamentale ha permesso loro di accedere alle aree più sensibili del sistema senza essere immediatamente individuati.
Per garantire la propria invisibilità ed eludere i sistemi di sicurezza, 8Base ha adottato una serie di strategie chiave.
Hanno terminato una serie di processi, prendendo di mira sia applicazioni di uso comune, come MS Office, sia software di sicurezza, al fine di creare un ambiente più vulnerabile per le loro attività dannose.
Inoltre, hanno utilizzato tecniche di "software packing" per occultare i file dannosi, in particolare caricando il ransomware Phobos direttamente in memoria, rendendo così più difficile per gli strumenti di sicurezza individuare e bloccare il malware.
Nella fase di individuazione, 8Base ha effettuato l'individuazione delle condivisioni di rete utilizzando la funzione WNetEnumResource() per eseguire una scansione sistematica delle risorse di rete.
Ciò ha permesso loro di individuare obiettivi strategici e comprendere la struttura della rete, facilitando così movimenti laterali e la raccolta di dati più efficaci.
È nella fase di impatto che le azioni di 8Base hanno provocato gravi danni alla vittima.
Hanno eseguito comandi che impediscono il ripristino del sistema, tra cui l'eliminazione delle copie shadow e dei cataloghi di backup, nonché la modifica delle configurazioni di avvio per impedire il ripristino del sistema.
Queste azioni, unite all'uso della crittografia AES per bloccare i file, non solo hanno reso difficile il recupero dei dati, ma hanno anche aumentato la pressione sulle vittime affinché accettassero le richieste di riscatto.
Questa fase ha dimostrato la capacità di 8Base non solo di penetrare nei sistemi e muoversi al loro interno, ma anche di lasciare un segno indelebile nelle organizzazioni colpite.
Gli hacker di 8Base spesso avviavano i propri attacchi lanciando phishing per diffondere payload nascosti o utilizzando strumenti come Angry IP Scanner per individuare e sfruttare le porte vulnerabili del protocollo RDP (Remote Desktop Protocol).
Hanno utilizzato attacchi di forza bruta per accedere ai servizi RDP esposti, per poi effettuare ricerche volte a tracciare il profilo delle loro vittime e stabilire connessioni con gli indirizzi IP presi di mira.
8Base ha rafforzato il proprio controllo sui sistemi compromessi ricorrendo all'usurpazione di identità e al furto di token.
Questa tecnica prevede la manipolazione dei token di sistema tramite la funzione DuplicateToken(), consentendo agli aggressori di elevare i propri privilegi in modo discreto.
Questo passaggio fondamentale ha permesso loro di accedere alle aree più sensibili del sistema senza essere immediatamente individuati.
Per garantire la propria invisibilità ed eludere i sistemi di sicurezza, 8Base ha adottato una serie di strategie chiave.
Hanno terminato una serie di processi, prendendo di mira sia applicazioni di uso comune, come MS Office, sia software di sicurezza, al fine di creare un ambiente più vulnerabile per le loro attività dannose.
Inoltre, hanno utilizzato tecniche di "software packing" per occultare i file dannosi, in particolare caricando il ransomware Phobos direttamente in memoria, rendendo così più difficile per gli strumenti di sicurezza individuare e bloccare il malware.
Nella fase di individuazione, 8Base ha effettuato l'individuazione delle condivisioni di rete utilizzando la funzione WNetEnumResource() per eseguire una scansione sistematica delle risorse di rete.
Ciò ha permesso loro di individuare obiettivi strategici e comprendere la struttura della rete, facilitando così movimenti laterali e la raccolta di dati più efficaci.
È nella fase di impatto che le azioni di 8Base hanno provocato gravi danni alla vittima.
Hanno eseguito comandi che impediscono il ripristino del sistema, tra cui l'eliminazione delle copie shadow e dei cataloghi di backup, nonché la modifica delle configurazioni di avvio per impedire il ripristino del sistema.
Queste azioni, unite all'uso della crittografia AES per bloccare i file, non solo hanno reso difficile il recupero dei dati, ma hanno anche aumentato la pressione sulle vittime affinché accettassero le richieste di riscatto.
Questa fase ha dimostrato la capacità di 8Base non solo di penetrare nei sistemi e muoversi al loro interno, ma anche di lasciare un segno indelebile nelle organizzazioni colpite.
TTP utilizzati da 8Base
Come individuare gli autori delle minacce con Vectra AI
Elenco dei rilevamenti disponibili nellaVectra AI che potrebbero indicare un attacco ransomware.
Domande frequenti
Che cos'è 8Base e come funziona?
8Base è un gruppo di ransomware noto per le sue tattiche di estorsione aggressive, che prende di mira principalmente le piccole e medie imprese in vari settori.
Si avvale di una sofisticata catena di attacchi che comprende l'escalation dei privilegi, l'elusione dei sistemi di difesa e la crittografia dei dati per estorcere un riscatto alle proprie vittime.
In che modo 8Base ottiene l'accesso iniziale alle reti?
8Base ottiene solitamente un primo accesso tramite phishing o kit di exploit, utilizzando questi vettori per distribuire il proprio ransomware o per insediarsi nei sistemi presi di mira.
Quali sono i settori più esposti al rischio di attacchi 8Base?
8Base ha dimostrato una predilezione per gli attacchi alle aziende operanti nei settori dei servizi alle imprese, della finanza, dell'industria manifatturiera e dell'informatica, probabilmente a causa della natura sensibile dei loro dati e della loro presunta capacità di pagare riscatti più elevati.
Quali tecniche utilizza 8Base per l'escalation dei privilegi?
8Base sfrutta l'impersonificazione e il furto dei token per ottenere un'escalation dei privilegi, manipolando i token di sistema per acquisire livelli di accesso più elevati all'interno dei sistemi compromessi.
In che modo 8Base riesce a eludere i meccanismi di rilevamento e difesa?
8Base utilizza tecniche quali la chiusura dei processi legati alla sicurezza e l'offuscamento dei file dannosi tramite il software di packing per eludere il rilevamento da parte degli strumenti di sicurezza tradizionali.
In che modo le organizzazioni possono individuare le intrusioni di 8Base e reagire di conseguenza?
Le organizzazioni possono potenziare le proprie capacità di rilevamento e risposta implementando una piattaforma di rilevamento delle minacce basata sull'intelligenza artificiale, in grado di fornire analisi e individuazione in tempo reale delle attività di ransomware tipiche di gruppi come 8Base.
Quali sono le conseguenze di 8Base per le organizzazioni compromesse?
L'impatto di 8Base comprende la crittografia dei file sensibili, l'ostacolo alle operazioni di ripristino del sistema e la potenziale sottrazione di dati, con conseguenti interruzioni operative, perdite finanziarie e danni alla reputazione.
Quali sono le misure preventive efficaci contro gli attacchi del ransomware 8Base?
Tra le misure efficaci figurano il backup regolare dei dati, la formazione dei dipendenti in phishing , l'applicazione tempestiva delle patch per le vulnerabilità e l'implementazione di soluzioni di sicurezza avanzate in grado di rilevare e mitigare le attività dei ransomware.
È possibile collegare 8Base ad altri gruppi o attività legati al ransomware?
Si ipotizza che 8Base possa avere legami con altri gruppi di ransomware, come RansomHouse, o possa esserne un'evoluzione, sulla base delle somiglianze nelle loro tattiche operative e negli stili di comunicazione verbale.
Quali strumenti o strategie possono utilizzare i professionisti della sicurezza informatica per indagare sugli incidenti relativi a 8Base?
I professionisti della sicurezza informatica possono avvalersi di strumenti di analisi forense, piattaforme di intelligence sulle minacce e soluzioni di sicurezza basate sull'intelligenza artificiale per indagare sugli incidenti, individuare i vettori di attacco e identificare gli indicatori di compromissione (IOC) correlati alle attività di 8Base.