8base
Grazie all'abile uso di tattiche di doppia estorsione e a un repertorio che comprende varianti modificate di ransomware noti come Phobos, 8Base ha orchestrato incidenti informatici significativi, colpendo numerose organizzazioni in tutto il mondo con le sue strategie implacabili e in continua evoluzione.
L'origine di 8Base
Emerso nell'aprile 2022, 8Base si distingue per l'impiego di tattiche di doppia estorsione, un metodo che ha guadagnato terreno tra i criminali informatici per la sua efficacia nell'esercitare pressione sulle vittime.
L'origine e l'intero spettro delle attività, delle metodologie e delle motivazioni del gruppo rimangono in gran parte avvolti nel mistero.
I ricercatori hanno scoperto che il gruppo utilizzava la variante del ransomware Phobos, modificata per aggiungere ".8base" ai file crittografati. Tra gli ambienti della sicurezza informatica prevale la convinzione che l'infrastruttura di 8Base sia stata sviluppata utilizzando il costruttore Babuk, unset di strumenti trapelato da un'altra famosa operazione di ransomware.
Altri pensano che sia un'emanazione di RansomHouse.
Obiettivi
Obiettivi di 8Base
Paesi destinatari di 8Base
8base si rivolgeva principalmente ad aziende con sede negli Stati Uniti, in Brasile e nel Regno Unito.
Fonte: SOCRadar
I settori a cui si rivolge 8Base
8Base concentra i suoi attacchi principalmente sulle piccole e medie imprese (PMI) che coprono un'ampia gamma di settori.
Il gruppo dimostra un particolare interesse per settori come i servizi alle imprese, la finanza, l'industria manifatturiera e le tecnologie dell'informazione.
Questo obiettivo specifico potrebbe derivare dalla convinzione che le aziende di questi settori abbiano maggiori probabilità di permettersi il pagamento di riscatti consistenti, o forse perché i dati in loro possesso sono considerati più sensibili o preziosi.
Fonte: SOCRadar
I settori a cui si rivolge 8Base
8Base concentra i suoi attacchi principalmente sulle piccole e medie imprese (PMI) che coprono un'ampia gamma di settori.
Il gruppo dimostra un particolare interesse per settori come i servizi alle imprese, la finanza, l'industria manifatturiera e le tecnologie dell'informazione.
Questo obiettivo specifico potrebbe derivare dalla convinzione che le aziende di questi settori abbiano maggiori probabilità di permettersi il pagamento di riscatti consistenti, o forse perché i dati in loro possesso sono considerati più sensibili o preziosi.
Fonte: SOCRadar
Vittime di 8Base
Ad oggi, più di 356 vittime sono state vittime delle operazioni malevole di 8Base.
Fonte: Ransomware.live
Metodo di attacco
Metodo di attacco di 8Base
Gli hacker di 8Base spesso iniziano i loro attacchi distribuendo campagnephishing per consegnare payload nascosti o utilizzando strumenti come Angry IP Scanner per identificare e sfruttare le porte vulnerabili del Remote Desktop Protocol (RDP).
Utilizzano attacchi di forza bruta per accedere ai servizi RDP esposti, conducendo successivamente ricerche per profilare le loro vittime e stabilire connessioni con gli IP presi di mira.
8Base esercita il proprio controllo sui sistemi compromessi eseguendo l'impersonificazione e il furto di token.
Questa tecnica prevede la manipolazione dei token di sistema con la funzione DuplicateToken(), consentendo agli aggressori di elevare i propri privilegi in modo discreto.
Questa fase critica garantisce che possano accedere alle aree più sensibili del sistema senza essere immediatamente individuati.
Per mantenere la segretezza ed evitare il rilevamento da parte delle difese di sicurezza, 8Base impiega un paio di strategie chiave.
Terminano una serie di processi, prendendo di mira sia le applicazioni comunemente utilizzate, come MS Office, sia il software di sicurezza, per creare un ambiente più vulnerabile per le loro attività dannose.
Inoltre, utilizzano il software packing per offuscare i file dannosi, in particolare impacchettando il ransomware Phobos nella memoria, rendendo più difficile per gli strumenti di sicurezza identificare e bloccare malware.
Nella fase di scoperta, 8Base esegue la scoperta delle azioni di rete utilizzando la funzione WNetEnumResource() per scorrere metodicamente le risorse di rete.
Ciò consente di identificare obiettivi importanti e di comprendere la struttura della rete, facilitando gli spostamenti laterali e la raccolta di dati più efficaci.
La fase d'impatto è quella in cui le azioni di 8Base culminano in un significativo disagio per la vittima.
Eseguono comandi che impediscono il ripristino del sistema, tra cui l'eliminazione delle copie shadow, dei cataloghi di backup e la modifica delle configurazioni di avvio per impedire la riparazione del sistema.
Queste azioni, unite all'uso della crittografia AES per bloccare i file, non solo rendono difficile il recupero dei dati, ma aumentano anche la pressione sulle vittime per soddisfare le richieste di riscatto.
Questa fase dimostra la capacità di 8Base di non limitarsi a violare e navigare nei sistemi, ma di lasciare un impatto duraturo sulle organizzazioni colpite.
Accesso iniziale
Gli hacker di 8Base spesso iniziano i loro attacchi distribuendo campagnephishing per consegnare payload nascosti o utilizzando strumenti come Angry IP Scanner per identificare e sfruttare le porte vulnerabili del Remote Desktop Protocol (RDP).
Utilizzano attacchi di forza bruta per accedere ai servizi RDP esposti, conducendo successivamente ricerche per profilare le loro vittime e stabilire connessioni con gli IP presi di mira.
Escalation dei privilegi
8Base esercita il proprio controllo sui sistemi compromessi eseguendo l'impersonificazione e il furto di token.
Questa tecnica prevede la manipolazione dei token di sistema con la funzione DuplicateToken(), consentendo agli aggressori di elevare i propri privilegi in modo discreto.
Questa fase critica garantisce che possano accedere alle aree più sensibili del sistema senza essere immediatamente individuati.
Difesa Evasione
Per mantenere la segretezza ed evitare il rilevamento da parte delle difese di sicurezza, 8Base impiega un paio di strategie chiave.
Terminano una serie di processi, prendendo di mira sia le applicazioni comunemente utilizzate, come MS Office, sia il software di sicurezza, per creare un ambiente più vulnerabile per le loro attività dannose.
Inoltre, utilizzano il software packing per offuscare i file dannosi, in particolare impacchettando il ransomware Phobos nella memoria, rendendo più difficile per gli strumenti di sicurezza identificare e bloccare malware.
Accesso alle credenziali
Scoperta
Nella fase di scoperta, 8Base esegue la scoperta delle azioni di rete utilizzando la funzione WNetEnumResource() per scorrere metodicamente le risorse di rete.
Ciò consente di identificare obiettivi importanti e di comprendere la struttura della rete, facilitando gli spostamenti laterali e la raccolta di dati più efficaci.
Movimento laterale
Collezione
Esecuzione
Esfiltrazione
Impatto
La fase d'impatto è quella in cui le azioni di 8Base culminano in un significativo disagio per la vittima.
Eseguono comandi che impediscono il ripristino del sistema, tra cui l'eliminazione delle copie shadow, dei cataloghi di backup e la modifica delle configurazioni di avvio per impedire la riparazione del sistema.
Queste azioni, unite all'uso della crittografia AES per bloccare i file, non solo rendono difficile il recupero dei dati, ma aumentano anche la pressione sulle vittime per soddisfare le richieste di riscatto.
Questa fase dimostra la capacità di 8Base di non limitarsi a violare e navigare nei sistemi, ma di lasciare un impatto duraturo sulle organizzazioni colpite.
MITRE ATT&CK Mappatura
TTP utilizzati da 8Base
TA0001: Initial Access
T1566
Phishing
T1133
External Remote Services
TA0002: Execution
T1129
Shared Modules
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1497
Virtualization/Sandbox Evasion
T1222
File and Directory Permissions Modification
T1202
Indirect Command Execution
T1112
Modify Registry
T1036
Masquerading
T1070
Indicator Removal
T1564
Hide Artifacts
T1562
Impair Defenses
TA0006: Credential Access
T1056
Input Capture
T1003
OS Credential Dumping
TA0007: Discovery
T1497
Virtualization/Sandbox Evasion
T1518
Software Discovery
T1083
File and Directory Discovery
T1082
System Information Discovery
T1057
Process Discovery
TA0008: Lateral Movement
T1080
Taint Shared Content
TA0009: Collection
T1560
Archive Collected Data
T1074
Data Staged
T1005
Data from Local System
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1490
Inhibit System Recovery
T1485
Data Destruction
Rilevamenti della piattaforma
Come rilevare 8Base con Vectra AI
Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che indicano un attacco ransomware.
DOMANDE FREQUENTI
Che cos'è 8Base e come funziona?
8Base è un gruppo di ransomware noto per le sue tattiche di estorsione aggressive, che prendono di mira principalmente le piccole e medie imprese di vari settori.
Utilizza una sofisticata catena di attacchi che include l'escalation dei privilegi, l'elusione delle difese e la crittografia dei dati per estorcere riscatti alle sue vittime.
In che modo 8Base ottiene l'accesso iniziale alle reti?
8Base in genere ottiene l'accesso iniziale attraverso le e-mail di phishing o gli exploit kit, utilizzando questi vettori per distribuire il proprio ransomware o ottenere punti di appoggio nei sistemi mirati.
Quali sono i settori più a rischio di attacchi 8Base?
8Base ha mostrato una preferenza per l'attacco a imprese nei settori dei servizi alle imprese, della finanza, dell'industria manifatturiera e dell'informatica, probabilmente a causa della natura sensibile dei loro dati e della loro capacità percepita di pagare riscatti più consistenti.
Quali tecniche utilizza 8Base per l'escalation dei privilegi?
8Base utilizza l'impersonificazione e il furto di token per l'escalation dei privilegi, manipolando i token di sistema per ottenere livelli di accesso più elevati all'interno dei sistemi compromessi.
Come fa 8Base a eludere i meccanismi di rilevamento e difesa?
8Base utilizza tecniche come la terminazione dei processi legati alla sicurezza e l'offuscamento dei file dannosi attraverso il software packing per eludere il rilevamento da parte degli strumenti di sicurezza tradizionali.
Come possono le organizzazioni rilevare e rispondere alle intrusioni 8Base?
Le organizzazioni possono migliorare le proprie capacità di rilevamento e risposta implementando una piattaforma di rilevamento delle minacce guidata dall'intelligenza artificiale che fornisca analisi e rilevamento in tempo reale delle attività ransomware caratteristiche di gruppi come 8Base.
Che impatto ha 8Base sulle organizzazioni compromesse?
L'impatto di 8Base comprende la crittografia dei file sensibili, l'inibizione degli sforzi di ripristino del sistema e la potenziale esfiltrazione dei dati, con conseguenti interruzioni operative, perdite finanziarie e danni alla reputazione.
Quali sono le misure preventive efficaci contro gli attacchi del ransomware 8Base?
Le misure efficaci includono backup regolari dei dati, formazione dei dipendenti sulla consapevolezza di phishing , patch tempestive delle vulnerabilità e implementazione di soluzioni di sicurezza avanzate in grado di rilevare e mitigare le attività ransomware.
8Base può essere collegato ad altri gruppi o attività di ransomware?
Si ipotizza che 8Base possa avere legami o essersi evoluto da altri gruppi di ransomware come RansomHouse, in base alle somiglianze nelle tattiche operative e negli stili di comunicazione verbale.
Quali strumenti o strategie possono essere utilizzati dai professionisti della cybersecurity per indagare sugli incidenti 8Base?
I professionisti della sicurezza informatica possono utilizzare strumenti di analisi forense, piattaforme di threat intelligence e soluzioni di sicurezza basate sull'intelligenza artificiale per indagare sugli incidenti, scoprire i vettori di attacco e identificare gli indicatori di compromissione (IOC) relativi alle attività di 8Base.