8base
With its adept use of double-extortion tactics and a repertoire that includes modified variants of known ransomware like Phobos, 8Base had orchestrated significant cyber incidents, impacting numerous organizations worldwide with its relentless and evolving strategies.
L'origine di 8Base
Emerso nel marzo 2022, il gruppo ransomware 8Base è rimasto inizialmente relativamente tranquillo dopo i primi attacchi. Tuttavia, a metà maggio e giugno 2023, ha registrato un'impennata significativa dell'attività, prendendo di mira organizzazioni di vari settori e contando 131 vittime in soli tre mesi. 8Base si distingue per l'impiego di tattiche di doppia estorsione, un metodo che ha guadagnato terreno tra i criminali informatici per la sua efficacia nell'esercitare pressione sulle vittime. Nel marzo 2023 hanno lanciato il loro sito di fuga di dati, promuovendo un'immagine di onestà e semplicità nelle loro comunicazioni.
L'origine e l'intero spettro delle attività, delle metodologie e delle motivazioni del gruppo rimangono in gran parte avvolte nel mistero. È interessante notare che 8Base non ha un proprio ransomware sviluppato. Al contrario, i ricercatori hanno scoperto che il gruppo utilizza i costruttori di ransomware trapelati, come la variante del ransomware Phobos, che hanno modificato per aggiungere ".8base" ai file crittografati, per personalizzare le note di riscatto e presentare gli attacchi come operazioni proprie. VMware ha pubblicato un rapporto che evidenzia le somiglianze tra 8Base e il gruppo di ransomware RansomHouse, sottolineando le somiglianze nei loro siti web e nelle note di riscatto. In alcuni ambienti della sicurezza informatica prevale la convinzione che l'infrastruttura di 8Base sia stata sviluppata utilizzando il costruttore Babuk, un set di strumenti trapelato da un'altra famosa operazione di ransomware, mentre altri pensano che si tratti di una propaggine di RansomHouse.
Nel febbraio 2025, un'importante operazione di contrasto internazionale ha portato all'arresto di quattro cittadini russi coinvolti nel gruppo 8Base. Il giro di vite, che ha preso di mira anche il ransomware Phobos, ha portato al sequestro di 27 server collegati alla loro rete. Questa azione segue una tendenza crescente di sforzi coordinati da parte delle autorità globali per interrompere le operazioni di ransomware, con Europol che svolge un ruolo fondamentale nel facilitare lo scambio di informazioni e la cooperazione transfrontaliera.
Paesi destinatari di 8Base
8base si rivolgeva principalmente ad aziende con sede negli Stati Uniti, in Brasile e nel Regno Unito.
I settori a cui si rivolge 8Base
8Base focused its attacks mainly on small and medium-sized enterprises (SMEs) spanning a range of industries.
The group demonstrated a particular interest in sectors such as business services, finance, manufacturing, and information technology.
Questo obiettivo specifico potrebbe derivare dalla convinzione che le aziende di questi settori abbiano maggiori probabilità di permettersi il pagamento di riscatti consistenti, o forse perché i dati in loro possesso sono considerati più sensibili o preziosi.
Fonte: SOCRadar
Vittime di 8Base
Metodo di attacco di 8Base
8Base hackers often initiated their attacks by deploying phishing campaigns to deliver concealed payloads or utilizing tools like Angry IP Scanner to identify and exploit vulnerable Remote Desktop Protocol (RDP) ports.
They employed brute force attacks to access exposed RDP services, subsequently conducting research to profile their victims and establish connections with the targeted IPs.
8Base advanced its control over compromised systems by executing token impersonation and theft.
Questa tecnica prevede la manipolazione dei token di sistema con la funzione DuplicateToken(), consentendo agli aggressori di elevare i propri privilegi in modo discreto.
This critical step ensured they can access more sensitive areas of the system without immediate detection.
To maintain stealth and avoid detection by security defenses, 8Base employed a couple of key strategies.
They terminated a variety of processes, targeting both commonly used applications, like MS Office, and security software, to create a more vulnerable environment for their malicious activities.
Additionally, they utilized software packing to obfuscate malicious files, specifically packing Phobos ransomware into memory, making it harder for security tools to identify and block the malware.
In the discovery phase, 8Base conducted network share discovery using the WNetEnumResource() function to methodically crawl through network resources.
This allowed them to identify valuable targets and understand the network's structure, facilitating more effective lateral movement and data collection.
The impact phase is where 8Base's actions culminated in significant disruption for the victim.
They executed commands that inhibit system recovery, including deleting shadow copies, backup catalogs, and modifying boot configurations to prevent system repairs.
These actions, combined with the use of AES encryption to lock files, not only made data recovery challenging but also increase the pressure on victims to comply with ransom demands.
This phase demonstrated 8Base's ability to not just breach and navigate systems but to leave a lasting impact on the affected organizations.
8Base hackers often initiated their attacks by deploying phishing campaigns to deliver concealed payloads or utilizing tools like Angry IP Scanner to identify and exploit vulnerable Remote Desktop Protocol (RDP) ports.
They employed brute force attacks to access exposed RDP services, subsequently conducting research to profile their victims and establish connections with the targeted IPs.
8Base advanced its control over compromised systems by executing token impersonation and theft.
Questa tecnica prevede la manipolazione dei token di sistema con la funzione DuplicateToken(), consentendo agli aggressori di elevare i propri privilegi in modo discreto.
This critical step ensured they can access more sensitive areas of the system without immediate detection.
To maintain stealth and avoid detection by security defenses, 8Base employed a couple of key strategies.
They terminated a variety of processes, targeting both commonly used applications, like MS Office, and security software, to create a more vulnerable environment for their malicious activities.
Additionally, they utilized software packing to obfuscate malicious files, specifically packing Phobos ransomware into memory, making it harder for security tools to identify and block the malware.
In the discovery phase, 8Base conducted network share discovery using the WNetEnumResource() function to methodically crawl through network resources.
This allowed them to identify valuable targets and understand the network's structure, facilitating more effective lateral movement and data collection.
The impact phase is where 8Base's actions culminated in significant disruption for the victim.
They executed commands that inhibit system recovery, including deleting shadow copies, backup catalogs, and modifying boot configurations to prevent system repairs.
These actions, combined with the use of AES encryption to lock files, not only made data recovery challenging but also increase the pressure on victims to comply with ransom demands.
This phase demonstrated 8Base's ability to not just breach and navigate systems but to leave a lasting impact on the affected organizations.
TTP utilizzati da 8Base
How to Detect Threat Actors with Vectra AI
Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che indicano un attacco ransomware.
DOMANDE FREQUENTI
Che cos'è 8Base e come funziona?
8Base è un gruppo di ransomware noto per le sue tattiche di estorsione aggressive, che prendono di mira principalmente le piccole e medie imprese di vari settori.
Utilizza una sofisticata catena di attacchi che include l'escalation dei privilegi, l'elusione delle difese e la crittografia dei dati per estorcere riscatti alle sue vittime.
In che modo 8Base ottiene l'accesso iniziale alle reti?
8Base in genere ottiene l'accesso iniziale attraverso le e-mail di phishing o gli exploit kit, utilizzando questi vettori per distribuire il proprio ransomware o ottenere punti di appoggio nei sistemi mirati.
Quali sono i settori più a rischio di attacchi 8Base?
8Base ha mostrato una preferenza per l'attacco a imprese nei settori dei servizi alle imprese, della finanza, dell'industria manifatturiera e dell'informatica, probabilmente a causa della natura sensibile dei loro dati e della loro capacità percepita di pagare riscatti più consistenti.
Quali tecniche utilizza 8Base per l'escalation dei privilegi?
8Base utilizza l'impersonificazione e il furto di token per l'escalation dei privilegi, manipolando i token di sistema per ottenere livelli di accesso più elevati all'interno dei sistemi compromessi.
Come fa 8Base a eludere i meccanismi di rilevamento e difesa?
8Base utilizza tecniche come la terminazione dei processi legati alla sicurezza e l'offuscamento dei file dannosi attraverso il software packing per eludere il rilevamento da parte degli strumenti di sicurezza tradizionali.
Come possono le organizzazioni rilevare e rispondere alle intrusioni 8Base?
Le organizzazioni possono migliorare le proprie capacità di rilevamento e risposta implementando una piattaforma di rilevamento delle minacce guidata dall'intelligenza artificiale che fornisca analisi e rilevamento in tempo reale delle attività ransomware caratteristiche di gruppi come 8Base.
Che impatto ha 8Base sulle organizzazioni compromesse?
L'impatto di 8Base comprende la crittografia dei file sensibili, l'inibizione degli sforzi di ripristino del sistema e la potenziale esfiltrazione dei dati, con conseguenti interruzioni operative, perdite finanziarie e danni alla reputazione.
Quali sono le misure preventive efficaci contro gli attacchi del ransomware 8Base?
Le misure efficaci includono backup regolari dei dati, formazione dei dipendenti sulla consapevolezza di phishing , patch tempestive delle vulnerabilità e implementazione di soluzioni di sicurezza avanzate in grado di rilevare e mitigare le attività ransomware.
8Base può essere collegato ad altri gruppi o attività di ransomware?
Si ipotizza che 8Base possa avere legami o essersi evoluto da altri gruppi di ransomware come RansomHouse, in base alle somiglianze nelle tattiche operative e negli stili di comunicazione verbale.
Quali strumenti o strategie possono essere utilizzati dai professionisti della cybersecurity per indagare sugli incidenti 8Base?
I professionisti della sicurezza informatica possono utilizzare strumenti di analisi forense, piattaforme di threat intelligence e soluzioni di sicurezza basate sull'intelligenza artificiale per indagare sugli incidenti, scoprire i vettori di attacco e identificare gli indicatori di compromissione (IOC) relativi alle attività di 8Base.