Mit seinem geschickten Einsatz von Doppelerpressungstaktiken und einem Repertoire, das modifizierte Varianten von bekannten ransomware wie Phobos umfasst, hat 8Base bedeutende Cybervorfälle inszeniert und mit seinen unerbittlichen und sich weiterentwickelnden Strategien zahlreiche Organisationen weltweit beeinträchtigt.
Die im März 2022 entstandene Gruppe 8Base ransomware blieb nach ihren ersten Angriffen zunächst relativ ruhig. Mitte Mai und Juni 2023 nahm ihre Aktivität jedoch deutlich zu. Sie griffen Organisationen in verschiedenen Branchen an und zählten innerhalb von nur drei Monaten 131 Opfer. 8Base zeichnet sich durch den Einsatz einer doppelten Erpressungstaktik aus, eine Methode, die bei Cyberkriminellen aufgrund ihrer Effizienz bei der Ausübung von Druck auf die Opfer an Popularität gewonnen hat. Im März 2023 starteten sie ihre Datenleck-Website und warben mit einem Image der Ehrlichkeit und Einfachheit in ihrer Kommunikation.
Der Ursprung und das gesamte Spektrum der Aktivitäten, Methoden und Beweggründe der Gruppe bleiben weitgehend im Dunkeln. Interessanterweise hat 8Base keine eigene ransomware entwickelt. Stattdessen fanden die Forscher heraus, dass die Gruppe durchgesickerte ransomware Builder - wie die Variante Phobos ransomware - verwendet, die sie so modifiziert hat, dass sie ".8base" an verschlüsselte Dateien anhängt, um Lösegeldforderungen anzupassen und Angriffe als ihre eigene Operation darzustellen. VMware veröffentlichte einen Bericht , in dem Ähnlichkeiten zwischen 8Base und der Gruppe ransomware RansomHouse festgestellt wurden, wobei Ähnlichkeiten in ihren Websites und Lösegeldschreiben hervorgehoben wurden. In einigen Cybersecurity-Kreisen herrscht die Meinung vor, dass die Infrastruktur von 8Base mit Hilfe des durchgesickerten Babuk-Builders entwickelt wurde - ein Toolset, das von einer anderen berüchtigten ransomware Operation durchgesickert ist -, während andere glauben, dass es sich um einen Ableger von RansomHouse handelt.
8base richtete sich vor allem an Unternehmen mit Sitz in den Vereinigten Staaten, Brasilien und dem Vereinigten Königreich.
Quelle: Ransomware.live
8Base konzentriert seine Angriffe hauptsächlich auf kleine und mittlere Unternehmen (KMU) aus verschiedenen Branchen.
Die Gruppe zeigt ein besonderes Interesse an Sektoren wie Unternehmensdienstleistungen, Finanzen, Fertigung und Informationstechnologie.
Diese gezielte Vorgehensweise könnte darauf zurückzuführen sein, dass Unternehmen in diesen Bereichen eher in der Lage sind, hohe Lösegeldzahlungen zu leisten, oder weil die Daten, über die sie verfügen, als sensibler oder wertvoller angesehen werden.
Quelle: SOCRadar
8Base konzentriert seine Angriffe hauptsächlich auf kleine und mittlere Unternehmen (KMU) aus verschiedenen Branchen.
Die Gruppe zeigt ein besonderes Interesse an Sektoren wie Unternehmensdienstleistungen, Finanzen, Fertigung und Informationstechnologie.
Diese gezielte Vorgehensweise könnte darauf zurückzuführen sein, dass Unternehmen in diesen Bereichen eher in der Lage sind, hohe Lösegeldzahlungen zu leisten, oder weil die Daten, über die sie verfügen, als sensibler oder wertvoller angesehen werden.
Quelle: SOCRadar
Bis heute sind mehr als 356 Opfer den bösartigen Machenschaften von 8Base zum Opfer gefallen.
Quelle: Ransomware.live
8Base-Hacker starten ihre Angriffe oft mit phishing -Kampagnen, um versteckte Nutzdaten zu übermitteln, oder mit Tools wie Angry IP Scanner, um anfällige RDP-Ports (Remote Desktop Protocol) zu identifizieren und auszunutzen.
Sie nutzen Brute-Force-Angriffe, um sich Zugang zu exponierten RDP-Diensten zu verschaffen, und führen anschließend Nachforschungen durch, um ein Profil ihrer Opfer zu erstellen und Verbindungen zu den anvisierten IPs herzustellen.
8Base verschafft sich durch Token-Impersonation und Diebstahl die Kontrolle über kompromittierte Systeme.
Bei dieser Technik werden System-Token mit der Funktion DuplicateToken() manipuliert, so dass die Angreifer ihre Privilegien unauffällig erhöhen können.
Dieser entscheidende Schritt stellt sicher, dass sie auf sensiblere Bereiche des Systems zugreifen können, ohne sofort entdeckt zu werden.
Um die Tarnung aufrechtzuerhalten und die Entdeckung durch Sicherheitsmaßnahmen zu vermeiden, setzt 8Base eine Reihe von Schlüsselstrategien ein.
Sie beenden eine Vielzahl von Prozessen und zielen sowohl auf häufig verwendete Anwendungen wie MS Office als auch auf Sicherheitssoftware ab, um eine anfälligere Umgebung für ihre bösartigen Aktivitäten zu schaffen.
Außerdem nutzen sie Software-Packing, um bösartige Dateien zu verschleiern, insbesondere das Packen von Phobos ransomware in den Speicher, wodurch es für Sicherheitstools schwieriger wird, die malware zu identifizieren und zu blockieren.
In der Erkennungsphase führt 8Base die Erkennung von Netzwerkfreigaben mit der Funktion WNetEnumResource() durch, um die Netzwerkressourcen methodisch zu durchforsten.
So können sie wertvolle Ziele identifizieren und die Struktur des Netzes verstehen, was eine effektivere seitliche Bewegung und Datenerfassung ermöglicht.
Die Auswirkungsphase ist die Phase, in der die Handlungen von 8Base zu einer erheblichen Beeinträchtigung des Opfers führen.
Sie führen Befehle aus, die die Wiederherstellung des Systems verhindern, z. B. das Löschen von Schattenkopien und Sicherungskatalogen sowie das Ändern von Boot-Konfigurationen, um Systemreparaturen zu verhindern.
Diese Maßnahmen in Verbindung mit der AES-Verschlüsselung zum Sperren von Dateien machen nicht nur die Datenwiederherstellung schwierig, sondern erhöhen auch den Druck auf die Opfer, den Lösegeldforderungen nachzukommen.
Diese Phase beweist die Fähigkeit von 8Base, nicht nur in Systeme einzudringen und diese zu steuern, sondern auch einen nachhaltigen Einfluss auf die betroffenen Organisationen zu haben.
8Base-Hacker starten ihre Angriffe oft mit phishing -Kampagnen, um versteckte Nutzdaten zu übermitteln, oder mit Tools wie Angry IP Scanner, um anfällige RDP-Ports (Remote Desktop Protocol) zu identifizieren und auszunutzen.
Sie nutzen Brute-Force-Angriffe, um sich Zugang zu exponierten RDP-Diensten zu verschaffen, und führen anschließend Nachforschungen durch, um ein Profil ihrer Opfer zu erstellen und Verbindungen zu den anvisierten IPs herzustellen.
8Base verschafft sich durch Token-Impersonation und Diebstahl die Kontrolle über kompromittierte Systeme.
Bei dieser Technik werden System-Token mit der Funktion DuplicateToken() manipuliert, so dass die Angreifer ihre Privilegien unauffällig erhöhen können.
Dieser entscheidende Schritt stellt sicher, dass sie auf sensiblere Bereiche des Systems zugreifen können, ohne sofort entdeckt zu werden.
Um die Tarnung aufrechtzuerhalten und die Entdeckung durch Sicherheitsmaßnahmen zu vermeiden, setzt 8Base eine Reihe von Schlüsselstrategien ein.
Sie beenden eine Vielzahl von Prozessen und zielen sowohl auf häufig verwendete Anwendungen wie MS Office als auch auf Sicherheitssoftware ab, um eine anfälligere Umgebung für ihre bösartigen Aktivitäten zu schaffen.
Außerdem nutzen sie Software-Packing, um bösartige Dateien zu verschleiern, insbesondere das Packen von Phobos ransomware in den Speicher, wodurch es für Sicherheitstools schwieriger wird, die malware zu identifizieren und zu blockieren.
In der Erkennungsphase führt 8Base die Erkennung von Netzwerkfreigaben mit der Funktion WNetEnumResource() durch, um die Netzwerkressourcen methodisch zu durchforsten.
So können sie wertvolle Ziele identifizieren und die Struktur des Netzes verstehen, was eine effektivere seitliche Bewegung und Datenerfassung ermöglicht.
Die Auswirkungsphase ist die Phase, in der die Handlungen von 8Base zu einer erheblichen Beeinträchtigung des Opfers führen.
Sie führen Befehle aus, die die Wiederherstellung des Systems verhindern, z. B. das Löschen von Schattenkopien und Sicherungskatalogen sowie das Ändern von Boot-Konfigurationen, um Systemreparaturen zu verhindern.
Diese Maßnahmen in Verbindung mit der AES-Verschlüsselung zum Sperren von Dateien machen nicht nur die Datenwiederherstellung schwierig, sondern erhöhen auch den Druck auf die Opfer, den Lösegeldforderungen nachzukommen.
Diese Phase beweist die Fähigkeit von 8Base, nicht nur in Systeme einzudringen und diese zu steuern, sondern auch einen nachhaltigen Einfluss auf die betroffenen Organisationen zu haben.
Liste der in der Vectra AI Plattform verfügbaren Erkennungen, die auf einen ransomware Angriff hindeuten würden.
8Base ( ransomware ) ist eine Gruppe, die für ihre aggressiven Erpressungstaktiken bekannt ist und es vor allem auf kleine und mittlere Unternehmen in verschiedenen Branchen abgesehen hat.
Er setzt eine ausgeklügelte Angriffskette ein, die Privilegieneskalation, Umgehung der Verteidigung und Datenverschlüsselung umfasst, um Lösegeld von seinen Opfern zu erpressen.
8Base verschafft sich in der Regel zunächst über phishing E-Mails oder Exploit-Kits Zugang und nutzt diese Vektoren, um seine ransomware zu verbreiten oder in den Zielsystemen Fuß zu fassen.
8Base hat eine Vorliebe für Angriffe auf Unternehmen in den Sektoren Unternehmensdienstleistungen, Finanzen, Fertigung und Informationstechnologie gezeigt, wahrscheinlich aufgrund der Sensibilität ihrer Daten und ihrer vermeintlichen Fähigkeit, größere Lösegelder zu zahlen.
8Base nutzt die Token-Impersonation und den Diebstahl zur Privilegienerweiterung, indem es System-Token manipuliert, um höhere Zugriffsebenen in kompromittierten Systemen zu erhalten.
8Base nutzt Techniken wie die Beendigung sicherheitsrelevanter Prozesse und die Verschleierung bösartiger Dateien durch Software-Packing, um die Erkennung durch herkömmliche Sicherheitstools zu umgehen.
Unternehmen können ihre Erkennungs- und Reaktionsfähigkeiten verbessern, indem sie eine KI-gesteuerte Plattform zur Erkennung von Bedrohungen implementieren, die eine Echtzeitanalyse und Erkennung von ransomware Aktivitäten ermöglicht, die für Gruppen wie 8Base charakteristisch sind.
Die Auswirkungen von 8Base umfassen die Verschlüsselung sensibler Dateien, die Behinderung von Systemwiederherstellungsbemühungen und die potenzielle Datenexfiltration, was zu Betriebsunterbrechungen, finanziellen Verlusten und Rufschädigung führt.
Zu den wirksamen Maßnahmen gehören regelmäßige Datensicherungen, Mitarbeiterschulungen zur Sensibilisierung für phishing , die rechtzeitige Behebung von Schwachstellen und der Einsatz fortschrittlicher Sicherheitslösungen, die in der Lage sind, Aktivitäten auf ransomware zu erkennen und abzuschwächen.
Es gibt Spekulationen, dass 8Base Verbindungen zu anderen ransomware Gruppen wie RansomHouse hat oder sich aus ihnen entwickelt hat, da ihre operativen Taktiken und verbalen Kommunikationsstile ähnlich sind.
Cybersecurity-Fachleute können forensische Analysetools, Threat-Intelligence-Plattformen und KI-gesteuerte Sicherheitslösungen nutzen, um Vorfälle zu untersuchen, Angriffsvektoren aufzudecken und Kompromittierungsindikatoren (Indicators of Compromise, IOCs) im Zusammenhang mit 8Base-Aktivitäten zu identifizieren.