8BASE
Grazie al suo abile ricorso a tattiche di doppia estorsione e a un repertorio che include varianti modificate di ransomware noti come Phobos, 8Base ha orchestrato importanti incidenti informatici, colpendo numerose organizzazioni in tutto il mondo con le sue strategie incessanti e in continua evoluzione.
L'origine di 8Base
Apparsa nel marzo 2022, la banda di ransomware 8Base è rimasta inizialmente relativamente tranquilla dopo i primi attacchi. Tuttavia, tra metà maggio e giugno 2023, ha registrato un significativo aumento dell'attività, prendendo di mira organizzazioni di vari settori e mietendo 131 vittime in soli tre mesi. 8Base si distingue per l'utilizzo di tattiche di doppia estorsione, un metodo che ha guadagnato popolarità tra i criminali informatici per la sua efficacia nell'esercitare pressione sulle vittime. Nel marzo 2023, ha lanciato il suo sito di fuga di dati, promuovendo un'immagine di onestà e semplicità nelle sue comunicazioni.
L'origine e l'intera gamma delle attività, delle metodologie e delle motivazioni del gruppo rimangono in gran parte avvolte nel mistero. È interessante notare che 8Base non dispone di un proprio ransomware sviluppato internamente. I ricercatori hanno invece scoperto che il gruppo utilizza builder di ransomware trapelati, come la variante Phobos, che ha modificato per aggiungere ".8base" ai file crittografati, per personalizzare le richieste di riscatto e presentare gli attacchi come proprie operazioni. VMware ha pubblicato un rapporto che evidenzia le somiglianze tra 8Base e il gruppo di ransomware RansomHouse, sottolineando le analogie tra i loro siti web e le richieste di riscatto. In alcuni ambienti della sicurezza informatica prevale la convinzione che l'infrastruttura di 8Base sia stata sviluppata utilizzando il builder Babuk trapelato, un set di strumenti trapelato da un'altra nota operazione di ransomware, mentre altri pensano che sia un ramo di RansomHouse.
Nel febbraio 2025, un' importante operazione internazionale delle forze dell'ordine ha portato all'arresto di quattro cittadini russi coinvolti nel gruppo 8Base. Il giro di vite, che ha preso di mira anche il ransomware Phobos, ha portato al sequestro di 27 server collegati alla loro rete. Questa azione segue una tendenza crescente di sforzi coordinati da parte delle autorità globali per contrastare le operazioni di ransomware, con Europol che svolge un ruolo fondamentale nel facilitare lo scambio di informazioni e la cooperazione transfrontaliera.
Paesi presi di mira da 8Base
8base ha preso di mira principalmente aziende con sede negli Stati Uniti, in Brasile e nel Regno Unito.
Settori target di 8Base
8Base ha concentrato i propri attacchi principalmente sulle piccole e medie imprese (PMI) operanti in diversi settori industriali.
Il gruppo ha dimostrato un particolare interesse per settori quali i servizi alle imprese, la finanza, la produzione manifatturiera e la tecnologia dell'informazione.
Questo specifico targeting potrebbe derivare dalla convinzione che le aziende operanti in questi settori siano più propense a pagare ingenti riscatti, o forse perché i dati in loro possesso sono considerati più sensibili o preziosi.
Fonte: SOCRadar
Le vittime di 8Base
Metodo di attacco di 8Base
Gli hacker di 8Base spesso avviavano i loro attacchi lanciando phishing per distribuire payload nascosti o utilizzando strumenti come Angry IP Scanner per identificare e sfruttare le porte Remote Desktop Protocol (RDP) vulnerabili.
Hanno utilizzato attacchi di forza bruta per accedere ai servizi RDP esposti, conducendo successivamente ricerche per profilare le loro vittime e stabilire connessioni con gli IP presi di mira.
8Base ha rafforzato il proprio controllo sui sistemi compromessi eseguendo l'usurpazione e il furto di token.
Questa tecnica consiste nel manipolare i token di sistema con la funzione DuplicateToken(), consentendo agli aggressori di elevare i propri privilegi in modo discreto.
Questo passaggio fondamentale ha garantito loro l'accesso alle aree più sensibili del sistema senza essere immediatamente individuati.
Per mantenere la segretezza ed evitare di essere individuato dai sistemi di sicurezza, 8Base ha adottato un paio di strategie chiave.
Hanno interrotto una serie di processi, prendendo di mira sia applicazioni di uso comune, come MS Office, sia software di sicurezza, al fine di creare un ambiente più vulnerabile per le loro attività dannose.
Inoltre, hanno utilizzato un software di compressione per nascondere i file dannosi, in particolare comprimendo il ransomware Phobos nella memoria, rendendo più difficile per gli strumenti di sicurezza identificare e bloccare il malware.
Nella fase di individuazione, 8Base ha eseguito l'individuazione delle condivisioni di rete utilizzando la funzione WNetEnumResource() per eseguire una scansione metodica delle risorse di rete.
Ciò ha permesso loro di identificare obiettivi di valore e comprendere la struttura della rete, facilitando movimenti laterali e raccolta dati più efficaci.
La fase di impatto è quella in cui le azioni di 8Base hanno provocato un grave danno alla vittima.
Hanno eseguito comandi che impediscono il ripristino del sistema, tra cui l'eliminazione delle copie shadow, dei cataloghi di backup e la modifica delle configurazioni di avvio per impedire la riparazione del sistema.
Queste azioni, combinate con l'uso della crittografia AES per bloccare i file, non solo hanno reso difficile il recupero dei dati, ma hanno anche aumentato la pressione sulle vittime affinché soddisfacessero le richieste di riscatto.
Questa fase ha dimostrato la capacità di 8Base non solo di violare e navigare nei sistemi, ma anche di lasciare un impatto duraturo sulle organizzazioni colpite.
Gli hacker di 8Base spesso avviavano i loro attacchi lanciando phishing per distribuire payload nascosti o utilizzando strumenti come Angry IP Scanner per identificare e sfruttare le porte Remote Desktop Protocol (RDP) vulnerabili.
Hanno utilizzato attacchi di forza bruta per accedere ai servizi RDP esposti, conducendo successivamente ricerche per profilare le loro vittime e stabilire connessioni con gli IP presi di mira.
8Base ha rafforzato il proprio controllo sui sistemi compromessi eseguendo l'usurpazione e il furto di token.
Questa tecnica consiste nel manipolare i token di sistema con la funzione DuplicateToken(), consentendo agli aggressori di elevare i propri privilegi in modo discreto.
Questo passaggio fondamentale ha garantito loro l'accesso alle aree più sensibili del sistema senza essere immediatamente individuati.
Per mantenere la segretezza ed evitare di essere individuato dai sistemi di sicurezza, 8Base ha adottato un paio di strategie chiave.
Hanno interrotto una serie di processi, prendendo di mira sia applicazioni di uso comune, come MS Office, sia software di sicurezza, al fine di creare un ambiente più vulnerabile per le loro attività dannose.
Inoltre, hanno utilizzato un software di compressione per nascondere i file dannosi, in particolare comprimendo il ransomware Phobos nella memoria, rendendo più difficile per gli strumenti di sicurezza identificare e bloccare il malware.
Nella fase di individuazione, 8Base ha eseguito l'individuazione delle condivisioni di rete utilizzando la funzione WNetEnumResource() per eseguire una scansione metodica delle risorse di rete.
Ciò ha permesso loro di identificare obiettivi di valore e comprendere la struttura della rete, facilitando movimenti laterali e raccolta dati più efficaci.
La fase di impatto è quella in cui le azioni di 8Base hanno provocato un grave danno alla vittima.
Hanno eseguito comandi che impediscono il ripristino del sistema, tra cui l'eliminazione delle copie shadow, dei cataloghi di backup e la modifica delle configurazioni di avvio per impedire la riparazione del sistema.
Queste azioni, combinate con l'uso della crittografia AES per bloccare i file, non solo hanno reso difficile il recupero dei dati, ma hanno anche aumentato la pressione sulle vittime affinché soddisfacessero le richieste di riscatto.
Questa fase ha dimostrato la capacità di 8Base non solo di violare e navigare nei sistemi, ma anche di lasciare un impatto duraturo sulle organizzazioni colpite.
TTP utilizzati da 8Base
Come individuare gli autori delle minacce con Vectra AI
Elenco delle rilevazioni disponibili nella Vectra AI che potrebbero indicare un attacco ransomware.
Domande frequenti
Che cos'è 8Base e come funziona?
8Base è un gruppo di ransomware noto per le sue tattiche di estorsione aggressive, che prende di mira principalmente le piccole e medie imprese di vari settori.
Utilizza una sofisticata catena di attacchi che include l'escalation dei privilegi, l'elusione delle difese e la crittografia dei dati per estorcere un riscatto alle vittime.
In che modo 8Base ottiene l'accesso iniziale alle reti?
8Base ottiene solitamente l'accesso iniziale tramite phishing o kit di exploit, utilizzando questi vettori per distribuire il proprio ransomware o ottenere un punto d'appoggio nei sistemi presi di mira.
Quali sono i settori più a rischio di attacchi 8Base?
8Base ha dimostrato una preferenza per gli attacchi alle aziende nei settori dei servizi alle imprese, della finanza, della produzione e dell'informatica, probabilmente a causa della natura sensibile dei loro dati e della loro percezione di poter pagare riscatti più elevati.
Quali tecniche utilizza 8Base per l'escalation dei privilegi?
8Base utilizza l'impersonificazione e il furto di token per l'escalation dei privilegi, manipolando i token di sistema per ottenere livelli di accesso più elevati all'interno dei sistemi compromessi.
In che modo 8Base elude i meccanismi di rilevamento e difesa?
8Base utilizza tecniche quali l'interruzione dei processi relativi alla sicurezza e l'offuscamento dei file dannosi tramite il packing del software per eludere il rilevamento da parte dei tradizionali strumenti di sicurezza.
In che modo le organizzazioni possono rilevare e rispondere alle intrusioni 8Base?
Le organizzazioni possono migliorare le proprie capacità di rilevamento e risposta implementando una piattaforma di rilevamento delle minacce basata sull'intelligenza artificiale che fornisce analisi e rilevamento in tempo reale delle attività ransomware caratteristiche di gruppi come 8Base.
Qual è l'impatto di 8Base sulle organizzazioni compromesse?
L'impatto di 8Base comprende la crittografia di file sensibili, l'inibizione dei tentativi di ripristino del sistema e la potenziale esfiltrazione dei dati, con conseguenti interruzioni operative, perdite finanziarie e danni alla reputazione.
Quali sono le misure preventive efficaci contro gli attacchi ransomware 8Base?
Tra le misure efficaci figurano il backup regolare dei dati, la formazione dei dipendenti sulla phishing , l'applicazione tempestiva delle patch alle vulnerabilità e l'implementazione di soluzioni di sicurezza avanzate in grado di rilevare e mitigare le attività dei ransomware.
È possibile collegare 8Base ad altri gruppi o attività di ransomware?
Si ipotizza che 8Base possa avere legami con altri gruppi di ransomware come RansomHouse, o possa essersi evoluto da essi, sulla base delle somiglianze nelle loro tattiche operative e negli stili di comunicazione verbale.
Quali strumenti o strategie possono utilizzare i professionisti della sicurezza informatica per indagare sugli incidenti relativi a 8Base?
I professionisti della sicurezza informatica possono avvalersi di strumenti di analisi forense, piattaforme di intelligence sulle minacce e soluzioni di sicurezza basate sull'intelligenza artificiale per indagare sugli incidenti, scoprire i vettori di attacco e identificare gli indicatori di compromissione (IOC) relativi alle attività di 8Base.