Ist Ihr Unternehmen vor 8Base Ransomware Angriffen sicher?

Der Ursprung von 8Base

8Base tauchte im April 2022 auf und zeichnet sich durch den Einsatz von Doppelerpressungstaktiken aus, eine Methode, die bei Cyberkriminellen wegen ihrer Effizienz bei der Ausübung von Druck auf die Opfer beliebt ist.

Der Ursprung und das gesamte Spektrum der Aktivitäten, Methoden und Beweggründe der Gruppe bleiben weitgehend im Dunkeln.

Die Forscher fanden heraus, dass die Gruppe die Variante Phobos ransomware verwendet, die sie so modifiziert haben, dass sie verschlüsselte Dateien mit dem Zusatz ".8base" versieht. In einigen Cybersicherheitskreisen herrscht die Meinung vor, dass die Infrastruktur von 8Base mit dem durchgesickerten Babuk-Builderentwickelt wurde - einemToolset, das von einer anderen berüchtigten ransomware Operation durchgesickert ist.

Andere halten es für einen Ableger von RansomHouse.

^Quelle:^SOCRadar^,^VMware

Ziele

8Base's Ziele

Zielländer von 8Base

8base richtete sich vor allem an Unternehmen mit Sitz in den Vereinigten Staaten, Brasilien und dem Vereinigten Königreich.

^Quelle:^SOCRadar

Von 8Base angesprochene Branchen

8Base konzentriert seine Angriffe hauptsächlich auf kleine und mittlere Unternehmen (KMU) aus verschiedenen Branchen.

Die Gruppe zeigt ein besonderes Interesse an Sektoren wie Unternehmensdienstleistungen, Finanzen, Fertigung und Informationstechnologie.

Diese gezielte Vorgehensweise könnte darauf zurückzuführen sein, dass Unternehmen in diesen Bereichen eher in der Lage sind, hohe Lösegeldzahlungen zu leisten, oder weil die Daten, über die sie verfügen, als sensibler oder wertvoller angesehen werden.

^Quelle:^SOCRadar

Von 8Base angesprochene Branchen

8Base konzentriert seine Angriffe hauptsächlich auf kleine und mittlere Unternehmen (KMU) aus verschiedenen Branchen.

Die Gruppe zeigt ein besonderes Interesse an Sektoren wie Unternehmensdienstleistungen, Finanzen, Fertigung und Informationstechnologie.

Diese gezielte Vorgehensweise könnte darauf zurückzuführen sein, dass Unternehmen in diesen Bereichen eher in der Lage sind, hohe Lösegeldzahlungen zu leisten, oder weil die Daten, über die sie verfügen, als sensibler oder wertvoller angesehen werden.

^Quelle:^SOCRadar

Die Opfer von 8Base

Bis heute sind mehr als 356 Opfer den bösartigen Machenschaften von 8Base zum Opfer gefallen.

^Quelle:^{Ransomware.live}

Angriffsmethode

Die Angriffsmethode von 8Base

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.

8Base-Hacker starten ihre Angriffe oft mit phishing -Kampagnen, um versteckte Nutzdaten zu übermitteln, oder mit Tools wie Angry IP Scanner, um anfällige RDP-Ports (Remote Desktop Protocol) zu identifizieren und auszunutzen.

Sie nutzen Brute-Force-Angriffe, um sich Zugang zu exponierten RDP-Diensten zu verschaffen, und führen anschließend Nachforschungen durch, um ein Profil ihrer Opfer zu erstellen und Verbindungen zu den anvisierten IPs herzustellen.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.

8Base verschafft sich durch Token-Impersonation und Diebstahl die Kontrolle über kompromittierte Systeme.

Bei dieser Technik werden System-Token mit der Funktion DuplicateToken() manipuliert, so dass die Angreifer ihre Privilegien unauffällig erhöhen können.

Dieser entscheidende Schritt stellt sicher, dass sie auf sensiblere Bereiche des Systems zugreifen können, ohne sofort entdeckt zu werden.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.

Um die Tarnung aufrechtzuerhalten und die Entdeckung durch Sicherheitsmaßnahmen zu vermeiden, setzt 8Base eine Reihe von Schlüsselstrategien ein.

Sie beenden eine Vielzahl von Prozessen und zielen sowohl auf häufig verwendete Anwendungen wie MS Office als auch auf Sicherheitssoftware ab, um eine anfälligere Umgebung für ihre bösartigen Aktivitäten zu schaffen.

Außerdem nutzen sie Software-Packing, um bösartige Dateien zu verschleiern, insbesondere das Packen von Phobos ransomware in den Speicher, wodurch es für Sicherheitstools schwieriger wird, die malware zu identifizieren und zu blockieren.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.

In der Erkennungsphase führt 8Base die Erkennung von Netzwerkfreigaben mit der Funktion WNetEnumResource() durch, um die Netzwerkressourcen methodisch zu durchforsten.

So können sie wertvolle Ziele identifizieren und die Struktur des Netzes verstehen, was eine effektivere seitliche Bewegung und Datenerfassung ermöglicht.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.

Die Auswirkungsphase ist die Phase, in der die Handlungen von 8Base zu einer erheblichen Beeinträchtigung des Opfers führen.

Sie führen Befehle aus, die die Wiederherstellung des Systems verhindern, z. B. das Löschen von Schattenkopien und Sicherungskatalogen sowie das Ändern von Boot-Konfigurationen, um Systemreparaturen zu verhindern.

Diese Maßnahmen in Verbindung mit der AES-Verschlüsselung zum Sperren von Dateien machen nicht nur die Datenwiederherstellung schwierig, sondern erhöhen auch den Druck auf die Opfer, den Lösegeldforderungen nachzukommen.

Diese Phase beweist die Fähigkeit von 8Base, nicht nur in Systeme einzudringen und diese zu steuern, sondern auch einen nachhaltigen Einfluss auf die betroffenen Organisationen zu haben.

Erster Zugang

8Base-Hacker starten ihre Angriffe oft mit phishing -Kampagnen, um versteckte Nutzdaten zu übermitteln, oder mit Tools wie Angry IP Scanner, um anfällige RDP-Ports (Remote Desktop Protocol) zu identifizieren und auszunutzen.

Sie nutzen Brute-Force-Angriffe, um sich Zugang zu exponierten RDP-Diensten zu verschaffen, und führen anschließend Nachforschungen durch, um ein Profil ihrer Opfer zu erstellen und Verbindungen zu den anvisierten IPs herzustellen.

Rechte-Eskalation

8Base verschafft sich durch Token-Impersonation und Diebstahl die Kontrolle über kompromittierte Systeme.

Bei dieser Technik werden System-Token mit der Funktion DuplicateToken() manipuliert, so dass die Angreifer ihre Privilegien unauffällig erhöhen können.

Dieser entscheidende Schritt stellt sicher, dass sie auf sensiblere Bereiche des Systems zugreifen können, ohne sofort entdeckt zu werden.

Verteidigung Umgehung

Um die Tarnung aufrechtzuerhalten und die Entdeckung durch Sicherheitsmaßnahmen zu vermeiden, setzt 8Base eine Reihe von Schlüsselstrategien ein.

Sie beenden eine Vielzahl von Prozessen und zielen sowohl auf häufig verwendete Anwendungen wie MS Office als auch auf Sicherheitssoftware ab, um eine anfälligere Umgebung für ihre bösartigen Aktivitäten zu schaffen.

Außerdem nutzen sie Software-Packing, um bösartige Dateien zu verschleiern, insbesondere das Packen von Phobos ransomware in den Speicher, wodurch es für Sicherheitstools schwieriger wird, die malware zu identifizieren und zu blockieren.

Zugang zu Anmeldeinformationen

Entdeckung

In der Erkennungsphase führt 8Base die Erkennung von Netzwerkfreigaben mit der Funktion WNetEnumResource() durch, um die Netzwerkressourcen methodisch zu durchforsten.

So können sie wertvolle Ziele identifizieren und die Struktur des Netzes verstehen, was eine effektivere seitliche Bewegung und Datenerfassung ermöglicht.

Seitliche Bewegung

Sammlung

Ausführung

Exfiltration

Auswirkungen

Die Auswirkungsphase ist die Phase, in der die Handlungen von 8Base zu einer erheblichen Beeinträchtigung des Opfers führen.

Sie führen Befehle aus, die die Wiederherstellung des Systems verhindern, z. B. das Löschen von Schattenkopien und Sicherungskatalogen sowie das Ändern von Boot-Konfigurationen, um Systemreparaturen zu verhindern.

Diese Maßnahmen in Verbindung mit der AES-Verschlüsselung zum Sperren von Dateien machen nicht nur die Datenwiederherstellung schwierig, sondern erhöhen auch den Druck auf die Opfer, den Lösegeldforderungen nachzukommen.

Diese Phase beweist die Fähigkeit von 8Base, nicht nur in Systeme einzudringen und diese zu steuern, sondern auch einen nachhaltigen Einfluss auf die betroffenen Organisationen zu haben.

MITRE ATT&CK Kartierung

Von 8Base verwendete TTPs

TA0001: Initial Access

T1566

Phishing

T1133

External Remote Services

TA0002: Execution

T1129

Shared Modules

T1059

Command and Scripting Interpreter

TA0003: Persistence

T1547

Boot or Logon Autostart Execution

T1053

Scheduled Task/Job

TA0004: Privilege Escalation

T1547

Boot or Logon Autostart Execution

T1053

Scheduled Task/Job

TA0005: Defense Evasion

T1497

Virtualization/Sandbox Evasion

T1222

File and Directory Permissions Modification

T1202

Indirect Command Execution

T1112

Modify Registry

T1036

Masquerading

T1070

Indicator Removal

T1564

Hide Artifacts

T1562

Impair Defenses

TA0006: Credential Access

T1056

Input Capture

T1003

OS Credential Dumping

TA0007: Discovery

T1497

Virtualization/Sandbox Evasion

T1518

Software Discovery

T1083

File and Directory Discovery

T1082

System Information Discovery

T1057

Process Discovery

TA0008: Lateral Movement

T1080

Taint Shared Content

TA0009: Collection

T1560

Archive Collected Data

T1074

Data Staged

T1005

Data from Local System

TA0011: Command and Control

T1071

Application Layer Protocol

TA0010: Exfiltration

T1041

Exfiltration Over C2 Channel

TA0040: Impact

T1490

Inhibit System Recovery

T1485

Data Destruction

Plattform-Detektionen

Wie man 8Base mit Vectra AI

Liste der in der Vectra AI Plattform verfügbaren Erkennungen, die auf einen ransomware Angriff hindeuten würden.

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

Weitere Entdeckungen anzeigen

Bewerten Sie Ihr Angriffsrisiko

Häufig gestellte Fragen

Was ist 8Base und wie funktioniert es?

8Base ( ransomware ) ist eine Gruppe, die für ihre aggressiven Erpressungstaktiken bekannt ist und es vor allem auf kleine und mittlere Unternehmen in verschiedenen Branchen abgesehen hat.

Er setzt eine ausgeklügelte Angriffskette ein, die Privilegieneskalation, Umgehung der Verteidigung und Datenverschlüsselung umfasst, um Lösegeld von seinen Opfern zu erpressen.

Wie erhält 8Base den ersten Zugang zu den Netzen?

8Base verschafft sich in der Regel zunächst über phishing E-Mails oder Exploit-Kits Zugang und nutzt diese Vektoren, um seine ransomware zu verbreiten oder in den Zielsystemen Fuß zu fassen.

Welche Sektoren sind am meisten durch 8Base-Angriffe gefährdet?

8Base hat eine Vorliebe für Angriffe auf Unternehmen in den Sektoren Unternehmensdienstleistungen, Finanzen, Fertigung und Informationstechnologie gezeigt, wahrscheinlich aufgrund der Sensibilität ihrer Daten und ihrer vermeintlichen Fähigkeit, größere Lösegelder zu zahlen.

Welche Techniken verwendet 8Base für die Privilegienerweiterung?

8Base nutzt die Token-Impersonation und den Diebstahl zur Privilegienerweiterung, indem es System-Token manipuliert, um höhere Zugriffsebenen in kompromittierten Systemen zu erhalten.

Wie umgeht 8Base Erkennungs- und Abwehrmechanismen?

8Base nutzt Techniken wie die Beendigung sicherheitsrelevanter Prozesse und die Verschleierung bösartiger Dateien durch Software-Packing, um die Erkennung durch herkömmliche Sicherheitstools zu umgehen.

‍

Wie können Unternehmen 8Base-Eindringlinge erkennen und auf sie reagieren?

Unternehmen können ihre Erkennungs- und Reaktionsfähigkeiten verbessern, indem sie eine KI-gesteuerte Plattform zur Erkennung von Bedrohungen implementieren, die eine Echtzeitanalyse und Erkennung von ransomware Aktivitäten ermöglicht, die für Gruppen wie 8Base charakteristisch sind.

Welche Auswirkungen hat 8Base auf gefährdete Organisationen?

Die Auswirkungen von 8Base umfassen die Verschlüsselung sensibler Dateien, die Behinderung von Systemwiederherstellungsbemühungen und die potenzielle Datenexfiltration, was zu Betriebsunterbrechungen, finanziellen Verlusten und Rufschädigung führt.

Was sind wirksame Präventivmaßnahmen gegen 8Base ransomware Angriffe?

Zu den wirksamen Maßnahmen gehören regelmäßige Datensicherungen, Mitarbeiterschulungen zur Sensibilisierung für phishing , die rechtzeitige Behebung von Schwachstellen und der Einsatz fortschrittlicher Sicherheitslösungen, die in der Lage sind, Aktivitäten auf ransomware zu erkennen und abzuschwächen.

Kann 8Base mit anderen ransomware Gruppen oder Aktivitäten verknüpft werden?

Es gibt Spekulationen, dass 8Base Verbindungen zu anderen ransomware Gruppen wie RansomHouse hat oder sich aus ihnen entwickelt hat, da ihre operativen Taktiken und verbalen Kommunikationsstile ähnlich sind.

Welche Tools oder Strategien können Cybersicherheitsexperten bei der Untersuchung von 8Base-Vorfällen einsetzen?

Cybersecurity-Fachleute können forensische Analysetools, Threat-Intelligence-Plattformen und KI-gesteuerte Sicherheitslösungen nutzen, um Vorfälle zu untersuchen, Angriffsvektoren aufzudecken und Kompromittierungsindikatoren (Indicators of Compromise, IOCs) im Zusammenhang mit 8Base-Aktivitäten zu identifizieren.