La vostra organizzazione è al sicuro dagli attacchi del ransomware 8Base?

L'origine di 8Base

Emerso nel marzo 2022, il gruppo ransomware 8Base è rimasto inizialmente relativamente tranquillo dopo i primi attacchi. Tuttavia, a metà maggio e giugno 2023, ha registrato un'impennata significativa dell'attività, prendendo di mira organizzazioni di vari settori e contando 131 vittime in soli tre mesi. 8Base si distingue per l'impiego di tattiche di doppia estorsione, un metodo che ha guadagnato terreno tra i criminali informatici per la sua efficacia nell'esercitare pressione sulle vittime. Nel marzo 2023 hanno lanciato il loro sito di fuga di dati, promuovendo un'immagine di onestà e semplicità nelle loro comunicazioni.

L'origine e l'intero spettro delle attività, delle metodologie e delle motivazioni del gruppo rimangono in gran parte avvolte nel mistero. È interessante notare che 8Base non ha un proprio ransomware sviluppato. Al contrario, i ricercatori hanno scoperto che il gruppo utilizza i costruttori di ransomware trapelati, come la variante del ransomware Phobos, che hanno modificato per aggiungere ".8base" ai file crittografati, per personalizzare le note di riscatto e presentare gli attacchi come operazioni proprie. VMware ha pubblicato un rapporto che evidenzia le somiglianze tra 8Base e il gruppo di ransomware RansomHouse, sottolineando le somiglianze nei loro siti web e nelle note di riscatto. In alcuni ambienti della sicurezza informatica prevale la convinzione che l'infrastruttura di 8Base sia stata sviluppata utilizzando il costruttore Babuk, un set di strumenti trapelato da un'altra famosa operazione di ransomware, mentre altri pensano che si tratti di una propaggine di RansomHouse.

Obiettivi

Obiettivi di 8Base

Paesi destinatari di 8Base

8base si rivolgeva principalmente ad aziende con sede negli Stati Uniti, in Brasile e nel Regno Unito.

^Fonte:^{Ransomware.live}

I settori a cui si rivolge 8Base

8Base concentra i suoi attacchi principalmente sulle piccole e medie imprese (PMI) che coprono un'ampia gamma di settori.

Il gruppo dimostra un particolare interesse per settori come i servizi alle imprese, la finanza, l'industria manifatturiera e le tecnologie dell'informazione.

Questo obiettivo specifico potrebbe derivare dalla convinzione che le aziende di questi settori abbiano maggiori probabilità di permettersi il pagamento di riscatti consistenti, o forse perché i dati in loro possesso sono considerati più sensibili o preziosi.

^Fonte:^SOCRadar

I settori a cui si rivolge 8Base

8Base concentra i suoi attacchi principalmente sulle piccole e medie imprese (PMI) che coprono un'ampia gamma di settori.

Il gruppo dimostra un particolare interesse per settori come i servizi alle imprese, la finanza, l'industria manifatturiera e le tecnologie dell'informazione.

Questo obiettivo specifico potrebbe derivare dalla convinzione che le aziende di questi settori abbiano maggiori probabilità di permettersi il pagamento di riscatti consistenti, o forse perché i dati in loro possesso sono considerati più sensibili o preziosi.

^Fonte:^SOCRadar

Vittime di 8Base

Ad oggi, più di 356 vittime sono state vittime delle operazioni malevole di 8Base.

^Fonte:^{Ransomware.live}

Metodo di attacco

Metodo di attacco di 8Base

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.

Gli hacker di 8Base spesso iniziano i loro attacchi distribuendo campagnephishing per consegnare payload nascosti o utilizzando strumenti come Angry IP Scanner per identificare e sfruttare le porte vulnerabili del Remote Desktop Protocol (RDP).

Utilizzano attacchi di forza bruta per accedere ai servizi RDP esposti, conducendo successivamente ricerche per profilare le loro vittime e stabilire connessioni con gli IP presi di mira.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.

8Base esercita il proprio controllo sui sistemi compromessi eseguendo l'impersonificazione e il furto di token.

Questa tecnica prevede la manipolazione dei token di sistema con la funzione DuplicateToken(), consentendo agli aggressori di elevare i propri privilegi in modo discreto.

Questa fase critica garantisce che possano accedere alle aree più sensibili del sistema senza essere immediatamente individuati.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Per mantenere la segretezza ed evitare il rilevamento da parte delle difese di sicurezza, 8Base impiega un paio di strategie chiave.

Terminano una serie di processi, prendendo di mira sia le applicazioni comunemente utilizzate, come MS Office, sia il software di sicurezza, per creare un ambiente più vulnerabile per le loro attività dannose.

Inoltre, utilizzano il software packing per offuscare i file dannosi, in particolare impacchettando il ransomware Phobos nella memoria, rendendo più difficile per gli strumenti di sicurezza identificare e bloccare malware.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.

Nella fase di scoperta, 8Base esegue la scoperta delle azioni di rete utilizzando la funzione WNetEnumResource() per scorrere metodicamente le risorse di rete.

Ciò consente di identificare obiettivi importanti e di comprendere la struttura della rete, facilitando gli spostamenti laterali e la raccolta di dati più efficaci.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.

La fase d'impatto è quella in cui le azioni di 8Base culminano in un significativo disagio per la vittima.

Eseguono comandi che impediscono il ripristino del sistema, tra cui l'eliminazione delle copie shadow, dei cataloghi di backup e la modifica delle configurazioni di avvio per impedire la riparazione del sistema.

Queste azioni, unite all'uso della crittografia AES per bloccare i file, non solo rendono difficile il recupero dei dati, ma aumentano anche la pressione sulle vittime per soddisfare le richieste di riscatto.

Questa fase dimostra la capacità di 8Base di non limitarsi a violare e navigare nei sistemi, ma di lasciare un impatto duraturo sulle organizzazioni colpite.

Accesso iniziale

Gli hacker di 8Base spesso iniziano i loro attacchi distribuendo campagnephishing per consegnare payload nascosti o utilizzando strumenti come Angry IP Scanner per identificare e sfruttare le porte vulnerabili del Remote Desktop Protocol (RDP).

Utilizzano attacchi di forza bruta per accedere ai servizi RDP esposti, conducendo successivamente ricerche per profilare le loro vittime e stabilire connessioni con gli IP presi di mira.

Escalation dei privilegi

8Base esercita il proprio controllo sui sistemi compromessi eseguendo l'impersonificazione e il furto di token.

Questa tecnica prevede la manipolazione dei token di sistema con la funzione DuplicateToken(), consentendo agli aggressori di elevare i propri privilegi in modo discreto.

Questa fase critica garantisce che possano accedere alle aree più sensibili del sistema senza essere immediatamente individuati.

Difesa Evasione

Per mantenere la segretezza ed evitare il rilevamento da parte delle difese di sicurezza, 8Base impiega un paio di strategie chiave.

Terminano una serie di processi, prendendo di mira sia le applicazioni comunemente utilizzate, come MS Office, sia il software di sicurezza, per creare un ambiente più vulnerabile per le loro attività dannose.

Inoltre, utilizzano il software packing per offuscare i file dannosi, in particolare impacchettando il ransomware Phobos nella memoria, rendendo più difficile per gli strumenti di sicurezza identificare e bloccare malware.

Accesso alle credenziali

Scoperta

Nella fase di scoperta, 8Base esegue la scoperta delle azioni di rete utilizzando la funzione WNetEnumResource() per scorrere metodicamente le risorse di rete.

Ciò consente di identificare obiettivi importanti e di comprendere la struttura della rete, facilitando gli spostamenti laterali e la raccolta di dati più efficaci.

Movimento laterale

Collezione

Esecuzione

Esfiltrazione

Impatto

La fase d'impatto è quella in cui le azioni di 8Base culminano in un significativo disagio per la vittima.

Eseguono comandi che impediscono il ripristino del sistema, tra cui l'eliminazione delle copie shadow, dei cataloghi di backup e la modifica delle configurazioni di avvio per impedire la riparazione del sistema.

Queste azioni, unite all'uso della crittografia AES per bloccare i file, non solo rendono difficile il recupero dei dati, ma aumentano anche la pressione sulle vittime per soddisfare le richieste di riscatto.

Questa fase dimostra la capacità di 8Base di non limitarsi a violare e navigare nei sistemi, ma di lasciare un impatto duraturo sulle organizzazioni colpite.

MITRE ATT&CK Mappatura

TTP utilizzati da 8Base

TA0001: Initial Access

T1566

Phishing

T1133

External Remote Services

TA0002: Execution

T1129

Shared Modules

T1059

Command and Scripting Interpreter

TA0003: Persistence

T1547

Boot or Logon Autostart Execution

T1053

Scheduled Task/Job

TA0004: Privilege Escalation

T1547

Boot or Logon Autostart Execution

T1053

Scheduled Task/Job

TA0005: Defense Evasion

T1497

Virtualization/Sandbox Evasion

T1222

File and Directory Permissions Modification

T1202

Indirect Command Execution

T1112

Modify Registry

T1036

Masquerading

T1070

Indicator Removal

T1564

Hide Artifacts

T1562

Impair Defenses

TA0006: Credential Access

T1056

Input Capture

T1003

OS Credential Dumping

TA0007: Discovery

T1497

Virtualization/Sandbox Evasion

T1518

Software Discovery

T1083

File and Directory Discovery

T1082

System Information Discovery

T1057

Process Discovery

TA0008: Lateral Movement

T1080

Taint Shared Content

TA0009: Collection

T1560

Archive Collected Data

T1074

Data Staged

T1005

Data from Local System

TA0011: Command and Control

T1071

Application Layer Protocol

TA0010: Exfiltration

T1041

Exfiltration Over C2 Channel

TA0040: Impact

T1490

Inhibit System Recovery

T1485

Data Destruction

Rilevamenti della piattaforma

Come rilevare 8Base con Vectra AI

Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che indicano un attacco ransomware.

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

Visualizza altri rilevamenti

Valutare l'esposizione agli attacchi

DOMANDE FREQUENTI

Che cos'è 8Base e come funziona?

8Base è un gruppo di ransomware noto per le sue tattiche di estorsione aggressive, che prendono di mira principalmente le piccole e medie imprese di vari settori.

Utilizza una sofisticata catena di attacchi che include l'escalation dei privilegi, l'elusione delle difese e la crittografia dei dati per estorcere riscatti alle sue vittime.

In che modo 8Base ottiene l'accesso iniziale alle reti?

8Base in genere ottiene l'accesso iniziale attraverso le e-mail di phishing o gli exploit kit, utilizzando questi vettori per distribuire il proprio ransomware o ottenere punti di appoggio nei sistemi mirati.

Quali sono i settori più a rischio di attacchi 8Base?

8Base ha mostrato una preferenza per l'attacco a imprese nei settori dei servizi alle imprese, della finanza, dell'industria manifatturiera e dell'informatica, probabilmente a causa della natura sensibile dei loro dati e della loro capacità percepita di pagare riscatti più consistenti.

Quali tecniche utilizza 8Base per l'escalation dei privilegi?

8Base utilizza l'impersonificazione e il furto di token per l'escalation dei privilegi, manipolando i token di sistema per ottenere livelli di accesso più elevati all'interno dei sistemi compromessi.

Come fa 8Base a eludere i meccanismi di rilevamento e difesa?

8Base utilizza tecniche come la terminazione dei processi legati alla sicurezza e l'offuscamento dei file dannosi attraverso il software packing per eludere il rilevamento da parte degli strumenti di sicurezza tradizionali.

‍

Come possono le organizzazioni rilevare e rispondere alle intrusioni 8Base?

Le organizzazioni possono migliorare le proprie capacità di rilevamento e risposta implementando una piattaforma di rilevamento delle minacce guidata dall'intelligenza artificiale che fornisca analisi e rilevamento in tempo reale delle attività ransomware caratteristiche di gruppi come 8Base.

Che impatto ha 8Base sulle organizzazioni compromesse?

L'impatto di 8Base comprende la crittografia dei file sensibili, l'inibizione degli sforzi di ripristino del sistema e la potenziale esfiltrazione dei dati, con conseguenti interruzioni operative, perdite finanziarie e danni alla reputazione.

Quali sono le misure preventive efficaci contro gli attacchi del ransomware 8Base?

Le misure efficaci includono backup regolari dei dati, formazione dei dipendenti sulla consapevolezza di phishing , patch tempestive delle vulnerabilità e implementazione di soluzioni di sicurezza avanzate in grado di rilevare e mitigare le attività ransomware.

8Base può essere collegato ad altri gruppi o attività di ransomware?

Si ipotizza che 8Base possa avere legami o essersi evoluto da altri gruppi di ransomware come RansomHouse, in base alle somiglianze nelle tattiche operative e negli stili di comunicazione verbale.

Quali strumenti o strategie possono essere utilizzati dai professionisti della cybersecurity per indagare sugli incidenti 8Base?

I professionisti della sicurezza informatica possono utilizzare strumenti di analisi forense, piattaforme di threat intelligence e soluzioni di sicurezza basate sull'intelligenza artificiale per indagare sugli incidenti, scoprire i vettori di attacco e identificare gli indicatori di compromissione (IOC) relativi alle attività di 8Base.

La vostra organizzazione è al sicuro dagli attacchi del ransomware 8Base?

Valutare l'esposizione agli attacchi