8BASE
Mit seinem geschickten Einsatz von Doppel-Erpressungstaktiken und einem Repertoire, das modifizierte Varianten bekannter ransomware Phobos umfasst, hat 8Base bedeutende Cybervorfälle orchestriert und mit seinen unerbittlichen und sich ständig weiterentwickelnden Strategien zahlreiche Organisationen weltweit in Mitleidenschaft gezogen.
Der Ursprung von 8Base
Die im März 2022 entstandene Gruppe 8Base ransomware blieb nach ihren ersten Angriffen zunächst relativ ruhig. Mitte Mai und Juni 2023 nahm ihre Aktivität jedoch deutlich zu. Sie griffen Organisationen in verschiedenen Branchen an und zählten innerhalb von nur drei Monaten 131 Opfer. 8Base zeichnet sich durch den Einsatz einer doppelten Erpressungstaktik aus, eine Methode, die bei Cyberkriminellen aufgrund ihrer Effizienz bei der Ausübung von Druck auf die Opfer an Popularität gewonnen hat. Im März 2023 starteten sie ihre Datenleck-Website und warben mit einem Image der Ehrlichkeit und Einfachheit in ihrer Kommunikation.
Der Ursprung und das gesamte Spektrum der Aktivitäten, Methoden und Beweggründe der Gruppe bleiben weitgehend im Dunkeln. Interessanterweise hat 8Base keine eigene ransomware entwickelt. Stattdessen fanden die Forscher heraus, dass die Gruppe durchgesickerte ransomware Builder - wie die Variante Phobos ransomware - verwendet, die sie so modifiziert hat, dass sie ".8base" an verschlüsselte Dateien anhängt, um Lösegeldforderungen anzupassen und Angriffe als ihre eigene Operation darzustellen. VMware veröffentlichte einen Bericht , in dem Ähnlichkeiten zwischen 8Base und der Gruppe ransomware RansomHouse festgestellt wurden, wobei Ähnlichkeiten in ihren Websites und Lösegeldschreiben hervorgehoben wurden. In einigen Cybersecurity-Kreisen herrscht die Meinung vor, dass die Infrastruktur von 8Base mit Hilfe des durchgesickerten Babuk-Builders entwickelt wurde - ein Toolset, das von einer anderen berüchtigten ransomware Operation durchgesickert ist -, während andere glauben, dass es sich um einen Ableger von RansomHouse handelt.
Im Februar 2025 führte eine groß angelegte internationale Strafverfolgungsaktion zur Verhaftung von vier russischen Staatsangehörigen, die an der 8Base-Gruppe beteiligt waren. Die Razzia, die sich auch gegen die ransomware Phobos richtete, führte zur Beschlagnahmung von 27 Servern, die mit ihrem Netzwerk verbunden waren. Diese Aktion folgt einem zunehmenden Trend zu koordinierten Bemühungen globaler Behörden zur Unterbindung von ransomware , wobei Europol eine entscheidende Rolle bei der Erleichterung des Informationsaustauschs und der grenzüberschreitenden Zusammenarbeit spielt.
Zielländer von 8Base
8base richtete sich vor allem an Unternehmen mit Sitz in den Vereinigten Staaten, Brasilien und dem Vereinigten Königreich.
Von 8Base angesprochene Branchen
8Base konzentrierte seine Angriffe hauptsächlich auf kleine und mittlere Unternehmen (KMU) aus verschiedenen Branchen.
Die Gruppe zeigte besonderes Interesse an Branchen wie Unternehmensdienstleistungen, Finanzen, Fertigung und Informationstechnologie.
Diese gezielte Vorgehensweise könnte darauf zurückzuführen sein, dass Unternehmen in diesen Bereichen eher in der Lage sind, hohe Lösegeldzahlungen zu leisten, oder weil die Daten, über die sie verfügen, als sensibler oder wertvoller angesehen werden.
Quelle: SOCRadar
Die Opfer von 8Base
Die Angriffsmethode von 8Base
Hacker von 8Base starteten ihre Angriffe häufig mit phishing , um versteckte Payloads zu verbreiten, oder nutzten Tools wie Angry IP Scanner, um anfällige RDP-Ports (Remote Desktop Protocol) zu identifizieren und auszunutzen.
Sie setzten Brute-Force-Angriffe ein, um auf exponierte RDP-Dienste zuzugreifen, und führten anschließend Recherchen durch, um Profile ihrer Opfer zu erstellen und Verbindungen zu den Ziel-IPs herzustellen.
8Base erweiterte seine Kontrolle über kompromittierte Systeme durch die Ausführung von Token-Identitätsdiebstahl und -missbrauch.
Bei dieser Technik werden System-Token mit der Funktion DuplicateToken() manipuliert, so dass die Angreifer ihre Privilegien unauffällig erhöhen können.
Dieser entscheidende Schritt stellte sicher, dass sie auf sensiblere Bereiche des Systems zugreifen konnten, ohne sofort entdeckt zu werden.
Um unentdeckt zu bleiben und nicht von Sicherheitsvorkehrungen erkannt zu werden, wandte 8Base einige wichtige Strategien an.
Sie beendeten eine Vielzahl von Prozessen, wobei sie sowohl häufig verwendete Anwendungen wie MS Office als auch Sicherheitssoftware ins Visier nahmen, um eine für ihre böswilligen Aktivitäten anfälligere Umgebung zu schaffen.
Darüber hinaus nutzten sie Software-Packing, um bösartige Dateien zu verschleiern, insbesondere indem sie ransomware den Arbeitsspeicher packten, wodurch es für Sicherheitstools schwieriger wurde, die malware zu identifizieren und zu blockieren.
In der Erkennungsphase führte 8Base eine Erkennung der Netzwerkfreigaben mithilfe der Funktion WNetEnumResource() durch, um die Netzwerkressourcen systematisch zu durchsuchen.
Dadurch konnten sie wertvolle Ziele identifizieren und die Struktur des Netzwerks verstehen, was eine effektivere laterale Bewegung und Datenerfassung ermöglichte.
In der Impact-Phase gipfelten die Aktionen von 8Base in einer erheblichen Störung für das Opfer.
Sie führten Befehle aus, die die Systemwiederherstellung verhindern, darunter das Löschen von Schattenkopien und Sicherungskatalogen sowie das Ändern von Startkonfigurationen, um Systemreparaturen zu verhindern.
Diese Maßnahmen in Verbindung mit der Verwendung von AES-Verschlüsselung zum Sperren von Dateien erschwerten nicht nur die Datenwiederherstellung, sondern erhöhten auch den Druck auf die Opfer, den Lösegeldforderungen nachzukommen.
Diese Phase zeigte, dass 8Base nicht nur in der Lage ist, in Systeme einzudringen und sich darin zu bewegen, sondern auch einen bleibenden Eindruck bei den betroffenen Organisationen zu hinterlassen.
Hacker von 8Base starteten ihre Angriffe häufig mit phishing , um versteckte Payloads zu verbreiten, oder nutzten Tools wie Angry IP Scanner, um anfällige RDP-Ports (Remote Desktop Protocol) zu identifizieren und auszunutzen.
Sie setzten Brute-Force-Angriffe ein, um auf exponierte RDP-Dienste zuzugreifen, und führten anschließend Recherchen durch, um Profile ihrer Opfer zu erstellen und Verbindungen zu den Ziel-IPs herzustellen.
8Base erweiterte seine Kontrolle über kompromittierte Systeme durch die Ausführung von Token-Identitätsdiebstahl und -missbrauch.
Bei dieser Technik werden System-Token mit der Funktion DuplicateToken() manipuliert, so dass die Angreifer ihre Privilegien unauffällig erhöhen können.
Dieser entscheidende Schritt stellte sicher, dass sie auf sensiblere Bereiche des Systems zugreifen konnten, ohne sofort entdeckt zu werden.
Um unentdeckt zu bleiben und nicht von Sicherheitsvorkehrungen erkannt zu werden, wandte 8Base einige wichtige Strategien an.
Sie beendeten eine Vielzahl von Prozessen, wobei sie sowohl häufig verwendete Anwendungen wie MS Office als auch Sicherheitssoftware ins Visier nahmen, um eine für ihre böswilligen Aktivitäten anfälligere Umgebung zu schaffen.
Darüber hinaus nutzten sie Software-Packing, um bösartige Dateien zu verschleiern, insbesondere indem sie ransomware den Arbeitsspeicher packten, wodurch es für Sicherheitstools schwieriger wurde, die malware zu identifizieren und zu blockieren.
In der Erkennungsphase führte 8Base eine Erkennung der Netzwerkfreigaben mithilfe der Funktion WNetEnumResource() durch, um die Netzwerkressourcen systematisch zu durchsuchen.
Dadurch konnten sie wertvolle Ziele identifizieren und die Struktur des Netzwerks verstehen, was eine effektivere laterale Bewegung und Datenerfassung ermöglichte.
In der Impact-Phase gipfelten die Aktionen von 8Base in einer erheblichen Störung für das Opfer.
Sie führten Befehle aus, die die Systemwiederherstellung verhindern, darunter das Löschen von Schattenkopien und Sicherungskatalogen sowie das Ändern von Startkonfigurationen, um Systemreparaturen zu verhindern.
Diese Maßnahmen in Verbindung mit der Verwendung von AES-Verschlüsselung zum Sperren von Dateien erschwerten nicht nur die Datenwiederherstellung, sondern erhöhten auch den Druck auf die Opfer, den Lösegeldforderungen nachzukommen.
Diese Phase zeigte, dass 8Base nicht nur in der Lage ist, in Systeme einzudringen und sich darin zu bewegen, sondern auch einen bleibenden Eindruck bei den betroffenen Organisationen zu hinterlassen.
Von 8Base verwendete TTPs
So erkennen Sie Bedrohungsakteure mit Vectra AI
Liste der in der Vectra AI Plattform verfügbaren Erkennungen, die auf einen ransomware Angriff hindeuten würden.
Häufig gestellte Fragen
Was ist 8Base und wie funktioniert es?
8Base ( ransomware ) ist eine Gruppe, die für ihre aggressiven Erpressungstaktiken bekannt ist und es vor allem auf kleine und mittlere Unternehmen in verschiedenen Branchen abgesehen hat.
Er setzt eine ausgeklügelte Angriffskette ein, die Privilegieneskalation, Umgehung der Verteidigung und Datenverschlüsselung umfasst, um Lösegeld von seinen Opfern zu erpressen.
Wie erhält 8Base den ersten Zugang zu den Netzen?
8Base verschafft sich in der Regel zunächst über phishing E-Mails oder Exploit-Kits Zugang und nutzt diese Vektoren, um seine ransomware zu verbreiten oder in den Zielsystemen Fuß zu fassen.
Welche Sektoren sind am meisten durch 8Base-Angriffe gefährdet?
8Base hat eine Vorliebe für Angriffe auf Unternehmen in den Sektoren Unternehmensdienstleistungen, Finanzen, Fertigung und Informationstechnologie gezeigt, wahrscheinlich aufgrund der Sensibilität ihrer Daten und ihrer vermeintlichen Fähigkeit, größere Lösegelder zu zahlen.
Welche Techniken verwendet 8Base für die Privilegienerweiterung?
8Base nutzt die Token-Impersonation und den Diebstahl zur Privilegienerweiterung, indem es System-Token manipuliert, um höhere Zugriffsebenen in kompromittierten Systemen zu erhalten.
Wie umgeht 8Base Erkennungs- und Abwehrmechanismen?
8Base nutzt Techniken wie die Beendigung sicherheitsrelevanter Prozesse und die Verschleierung bösartiger Dateien durch Software-Packing, um die Erkennung durch herkömmliche Sicherheitstools zu umgehen.
Wie können Unternehmen 8Base-Eindringlinge erkennen und auf sie reagieren?
Unternehmen können ihre Erkennungs- und Reaktionsfähigkeiten verbessern, indem sie eine KI-gesteuerte Plattform zur Erkennung von Bedrohungen implementieren, die eine Echtzeitanalyse und Erkennung von ransomware Aktivitäten ermöglicht, die für Gruppen wie 8Base charakteristisch sind.
Welche Auswirkungen hat 8Base auf gefährdete Organisationen?
Die Auswirkungen von 8Base umfassen die Verschlüsselung sensibler Dateien, die Behinderung von Systemwiederherstellungsbemühungen und die potenzielle Datenexfiltration, was zu Betriebsunterbrechungen, finanziellen Verlusten und Rufschädigung führt.
Was sind wirksame Präventivmaßnahmen gegen 8Base ransomware Angriffe?
Zu den wirksamen Maßnahmen gehören regelmäßige Datensicherungen, Mitarbeiterschulungen zur Sensibilisierung für phishing , die rechtzeitige Behebung von Schwachstellen und der Einsatz fortschrittlicher Sicherheitslösungen, die in der Lage sind, Aktivitäten auf ransomware zu erkennen und abzuschwächen.
Kann 8Base mit anderen ransomware Gruppen oder Aktivitäten verknüpft werden?
Es gibt Spekulationen, dass 8Base Verbindungen zu anderen ransomware Gruppen wie RansomHouse hat oder sich aus ihnen entwickelt hat, da ihre operativen Taktiken und verbalen Kommunikationsstile ähnlich sind.
Welche Tools oder Strategien können Cybersicherheitsexperten bei der Untersuchung von 8Base-Vorfällen einsetzen?
Cybersecurity-Fachleute können forensische Analysetools, Threat-Intelligence-Plattformen und KI-gesteuerte Sicherheitslösungen nutzen, um Vorfälle zu untersuchen, Angriffsvektoren aufzudecken und Kompromittierungsindikatoren (Indicators of Compromise, IOCs) im Zusammenhang mit 8Base-Aktivitäten zu identifizieren.