8Basis

Mit seinem geschickten Einsatz von Doppelerpressungstaktiken und einem Repertoire, das modifizierte Varianten von bekannten ransomware wie Phobos umfasst, hat 8Base bedeutende Cybervorfälle inszeniert und mit seinen unerbittlichen und sich weiterentwickelnden Strategien zahlreiche Organisationen weltweit beeinträchtigt.

Ist Ihr Unternehmen vor 8Base Ransomware Angriffen sicher?

Der Ursprung von 8Base

Die im März 2022 entstandene Gruppe 8Base ransomware blieb nach ihren ersten Angriffen zunächst relativ ruhig. Mitte Mai und Juni 2023 nahm ihre Aktivität jedoch deutlich zu. Sie griffen Organisationen in verschiedenen Branchen an und zählten innerhalb von nur drei Monaten 131 Opfer. 8Base zeichnet sich durch den Einsatz einer doppelten Erpressungstaktik aus, eine Methode, die bei Cyberkriminellen aufgrund ihrer Effizienz bei der Ausübung von Druck auf die Opfer an Popularität gewonnen hat. Im März 2023 starteten sie ihre Datenleck-Website und warben mit einem Image der Ehrlichkeit und Einfachheit in ihrer Kommunikation.

Der Ursprung und das gesamte Spektrum der Aktivitäten, Methoden und Beweggründe der Gruppe bleiben weitgehend im Dunkeln. Interessanterweise hat 8Base keine eigene ransomware entwickelt. Stattdessen fanden die Forscher heraus, dass die Gruppe durchgesickerte ransomware Builder - wie die Variante Phobos ransomware - verwendet, die sie so modifiziert hat, dass sie ".8base" an verschlüsselte Dateien anhängt, um Lösegeldforderungen anzupassen und Angriffe als ihre eigene Operation darzustellen. VMware veröffentlichte einen Bericht , in dem Ähnlichkeiten zwischen 8Base und der Gruppe ransomware RansomHouse festgestellt wurden, wobei Ähnlichkeiten in ihren Websites und Lösegeldschreiben hervorgehoben wurden. In einigen Cybersecurity-Kreisen herrscht die Meinung vor, dass die Infrastruktur von 8Base mit Hilfe des durchgesickerten Babuk-Builders entwickelt wurde - ein Toolset, das von einer anderen berüchtigten ransomware Operation durchgesickert ist -, während andere glauben, dass es sich um einen Ableger von RansomHouse handelt.

Ziele

8Base's Ziele

Zielländer von 8Base

8base richtete sich vor allem an Unternehmen mit Sitz in den Vereinigten Staaten, Brasilien und dem Vereinigten Königreich.

Quelle: Ransomware.live

Von 8Base angesprochene Branchen

8Base konzentriert seine Angriffe hauptsächlich auf kleine und mittlere Unternehmen (KMU) aus verschiedenen Branchen.  

Die Gruppe zeigt ein besonderes Interesse an Sektoren wie Unternehmensdienstleistungen, Finanzen, Fertigung und Informationstechnologie.

Diese gezielte Vorgehensweise könnte darauf zurückzuführen sein, dass Unternehmen in diesen Bereichen eher in der Lage sind, hohe Lösegeldzahlungen zu leisten, oder weil die Daten, über die sie verfügen, als sensibler oder wertvoller angesehen werden.

Quelle: SOCRadar

Von 8Base angesprochene Branchen

8Base konzentriert seine Angriffe hauptsächlich auf kleine und mittlere Unternehmen (KMU) aus verschiedenen Branchen.  

Die Gruppe zeigt ein besonderes Interesse an Sektoren wie Unternehmensdienstleistungen, Finanzen, Fertigung und Informationstechnologie.

Diese gezielte Vorgehensweise könnte darauf zurückzuführen sein, dass Unternehmen in diesen Bereichen eher in der Lage sind, hohe Lösegeldzahlungen zu leisten, oder weil die Daten, über die sie verfügen, als sensibler oder wertvoller angesehen werden.

Quelle: SOCRadar

Die Opfer von 8Base

Bis heute sind mehr als 356 Opfer den bösartigen Machenschaften von 8Base zum Opfer gefallen.

Quelle: Ransomware.live

Angriffsmethode

Die Angriffsmethode von 8Base

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.

8Base-Hacker starten ihre Angriffe oft mit phishing -Kampagnen, um versteckte Nutzdaten zu übermitteln, oder mit Tools wie Angry IP Scanner, um anfällige RDP-Ports (Remote Desktop Protocol) zu identifizieren und auszunutzen.

Sie nutzen Brute-Force-Angriffe, um sich Zugang zu exponierten RDP-Diensten zu verschaffen, und führen anschließend Nachforschungen durch, um ein Profil ihrer Opfer zu erstellen und Verbindungen zu den anvisierten IPs herzustellen.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.

8Base verschafft sich durch Token-Impersonation und Diebstahl die Kontrolle über kompromittierte Systeme.

Bei dieser Technik werden System-Token mit der Funktion DuplicateToken() manipuliert, so dass die Angreifer ihre Privilegien unauffällig erhöhen können.

Dieser entscheidende Schritt stellt sicher, dass sie auf sensiblere Bereiche des Systems zugreifen können, ohne sofort entdeckt zu werden.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.

Um die Tarnung aufrechtzuerhalten und die Entdeckung durch Sicherheitsmaßnahmen zu vermeiden, setzt 8Base eine Reihe von Schlüsselstrategien ein.

Sie beenden eine Vielzahl von Prozessen und zielen sowohl auf häufig verwendete Anwendungen wie MS Office als auch auf Sicherheitssoftware ab, um eine anfälligere Umgebung für ihre bösartigen Aktivitäten zu schaffen.

Außerdem nutzen sie Software-Packing, um bösartige Dateien zu verschleiern, insbesondere das Packen von Phobos ransomware in den Speicher, wodurch es für Sicherheitstools schwieriger wird, die malware zu identifizieren und zu blockieren.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.
Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.

In der Erkennungsphase führt 8Base die Erkennung von Netzwerkfreigaben mit der Funktion WNetEnumResource() durch, um die Netzwerkressourcen methodisch zu durchforsten.

So können sie wertvolle Ziele identifizieren und die Struktur des Netzes verstehen, was eine effektivere seitliche Bewegung und Datenerfassung ermöglicht.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.
Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.
Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.
Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.
Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.

Die Auswirkungsphase ist die Phase, in der die Handlungen von 8Base zu einer erheblichen Beeinträchtigung des Opfers führen.

Sie führen Befehle aus, die die Wiederherstellung des Systems verhindern, z. B. das Löschen von Schattenkopien und Sicherungskatalogen sowie das Ändern von Boot-Konfigurationen, um Systemreparaturen zu verhindern.

Diese Maßnahmen in Verbindung mit der AES-Verschlüsselung zum Sperren von Dateien machen nicht nur die Datenwiederherstellung schwierig, sondern erhöhen auch den Druck auf die Opfer, den Lösegeldforderungen nachzukommen.

Diese Phase beweist die Fähigkeit von 8Base, nicht nur in Systeme einzudringen und diese zu steuern, sondern auch einen nachhaltigen Einfluss auf die betroffenen Organisationen zu haben.

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.
Erster Zugang

8Base-Hacker starten ihre Angriffe oft mit phishing -Kampagnen, um versteckte Nutzdaten zu übermitteln, oder mit Tools wie Angry IP Scanner, um anfällige RDP-Ports (Remote Desktop Protocol) zu identifizieren und auszunutzen.

Sie nutzen Brute-Force-Angriffe, um sich Zugang zu exponierten RDP-Diensten zu verschaffen, und führen anschließend Nachforschungen durch, um ein Profil ihrer Opfer zu erstellen und Verbindungen zu den anvisierten IPs herzustellen.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.
Rechte-Eskalation

8Base verschafft sich durch Token-Impersonation und Diebstahl die Kontrolle über kompromittierte Systeme.

Bei dieser Technik werden System-Token mit der Funktion DuplicateToken() manipuliert, so dass die Angreifer ihre Privilegien unauffällig erhöhen können.

Dieser entscheidende Schritt stellt sicher, dass sie auf sensiblere Bereiche des Systems zugreifen können, ohne sofort entdeckt zu werden.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.
Verteidigung Umgehung

Um die Tarnung aufrechtzuerhalten und die Entdeckung durch Sicherheitsmaßnahmen zu vermeiden, setzt 8Base eine Reihe von Schlüsselstrategien ein.

Sie beenden eine Vielzahl von Prozessen und zielen sowohl auf häufig verwendete Anwendungen wie MS Office als auch auf Sicherheitssoftware ab, um eine anfälligere Umgebung für ihre bösartigen Aktivitäten zu schaffen.

Außerdem nutzen sie Software-Packing, um bösartige Dateien zu verschleiern, insbesondere das Packen von Phobos ransomware in den Speicher, wodurch es für Sicherheitstools schwieriger wird, die malware zu identifizieren und zu blockieren.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.
Zugang zu Anmeldeinformationen
Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.
Entdeckung

In der Erkennungsphase führt 8Base die Erkennung von Netzwerkfreigaben mit der Funktion WNetEnumResource() durch, um die Netzwerkressourcen methodisch zu durchforsten.

So können sie wertvolle Ziele identifizieren und die Struktur des Netzes verstehen, was eine effektivere seitliche Bewegung und Datenerfassung ermöglicht.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.
Seitliche Bewegung
Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.
Sammlung
Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.
Ausführung
Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.
Exfiltration
Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.
Auswirkungen

Die Auswirkungsphase ist die Phase, in der die Handlungen von 8Base zu einer erheblichen Beeinträchtigung des Opfers führen.

Sie führen Befehle aus, die die Wiederherstellung des Systems verhindern, z. B. das Löschen von Schattenkopien und Sicherungskatalogen sowie das Ändern von Boot-Konfigurationen, um Systemreparaturen zu verhindern.

Diese Maßnahmen in Verbindung mit der AES-Verschlüsselung zum Sperren von Dateien machen nicht nur die Datenwiederherstellung schwierig, sondern erhöhen auch den Druck auf die Opfer, den Lösegeldforderungen nachzukommen.

Diese Phase beweist die Fähigkeit von 8Base, nicht nur in Systeme einzudringen und diese zu steuern, sondern auch einen nachhaltigen Einfluss auf die betroffenen Organisationen zu haben.

MITRE ATT&CK Kartierung

Von 8Base verwendete TTPs

TA0001: Initial Access
T1566
Phishing
T1133
External Remote Services
TA0002: Execution
T1129
Shared Modules
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1497
Virtualization/Sandbox Evasion
T1222
File and Directory Permissions Modification
T1202
Indirect Command Execution
T1112
Modify Registry
T1036
Masquerading
T1070
Indicator Removal
T1564
Hide Artifacts
T1562
Impair Defenses
TA0006: Credential Access
T1056
Input Capture
T1003
OS Credential Dumping
TA0007: Discovery
T1497
Virtualization/Sandbox Evasion
T1518
Software Discovery
T1083
File and Directory Discovery
T1082
System Information Discovery
T1057
Process Discovery
TA0008: Lateral Movement
T1080
Taint Shared Content
TA0009: Collection
T1560
Archive Collected Data
T1074
Data Staged
T1005
Data from Local System
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1490
Inhibit System Recovery
T1485
Data Destruction
Plattform-Detektionen

Wie man 8Base mit Vectra AI

Liste der in der Vectra AI Plattform verfügbaren Erkennungen, die auf einen ransomware Angriff hindeuten würden.

Häufig gestellte Fragen

Was ist 8Base und wie funktioniert es?

8Base ( ransomware ) ist eine Gruppe, die für ihre aggressiven Erpressungstaktiken bekannt ist und es vor allem auf kleine und mittlere Unternehmen in verschiedenen Branchen abgesehen hat.

Er setzt eine ausgeklügelte Angriffskette ein, die Privilegieneskalation, Umgehung der Verteidigung und Datenverschlüsselung umfasst, um Lösegeld von seinen Opfern zu erpressen.

Wie erhält 8Base den ersten Zugang zu den Netzen?

8Base verschafft sich in der Regel zunächst über phishing E-Mails oder Exploit-Kits Zugang und nutzt diese Vektoren, um seine ransomware zu verbreiten oder in den Zielsystemen Fuß zu fassen.

Welche Sektoren sind am meisten durch 8Base-Angriffe gefährdet?

8Base hat eine Vorliebe für Angriffe auf Unternehmen in den Sektoren Unternehmensdienstleistungen, Finanzen, Fertigung und Informationstechnologie gezeigt, wahrscheinlich aufgrund der Sensibilität ihrer Daten und ihrer vermeintlichen Fähigkeit, größere Lösegelder zu zahlen.

Welche Techniken verwendet 8Base für die Privilegienerweiterung?

8Base nutzt die Token-Impersonation und den Diebstahl zur Privilegienerweiterung, indem es System-Token manipuliert, um höhere Zugriffsebenen in kompromittierten Systemen zu erhalten.

Wie umgeht 8Base Erkennungs- und Abwehrmechanismen?

8Base nutzt Techniken wie die Beendigung sicherheitsrelevanter Prozesse und die Verschleierung bösartiger Dateien durch Software-Packing, um die Erkennung durch herkömmliche Sicherheitstools zu umgehen.

Wie können Unternehmen 8Base-Eindringlinge erkennen und auf sie reagieren?

Unternehmen können ihre Erkennungs- und Reaktionsfähigkeiten verbessern, indem sie eine KI-gesteuerte Plattform zur Erkennung von Bedrohungen implementieren, die eine Echtzeitanalyse und Erkennung von ransomware Aktivitäten ermöglicht, die für Gruppen wie 8Base charakteristisch sind.

Welche Auswirkungen hat 8Base auf gefährdete Organisationen?

Die Auswirkungen von 8Base umfassen die Verschlüsselung sensibler Dateien, die Behinderung von Systemwiederherstellungsbemühungen und die potenzielle Datenexfiltration, was zu Betriebsunterbrechungen, finanziellen Verlusten und Rufschädigung führt.

Was sind wirksame Präventivmaßnahmen gegen 8Base ransomware Angriffe?

Zu den wirksamen Maßnahmen gehören regelmäßige Datensicherungen, Mitarbeiterschulungen zur Sensibilisierung für phishing , die rechtzeitige Behebung von Schwachstellen und der Einsatz fortschrittlicher Sicherheitslösungen, die in der Lage sind, Aktivitäten auf ransomware zu erkennen und abzuschwächen.

Kann 8Base mit anderen ransomware Gruppen oder Aktivitäten verknüpft werden?

Es gibt Spekulationen, dass 8Base Verbindungen zu anderen ransomware Gruppen wie RansomHouse hat oder sich aus ihnen entwickelt hat, da ihre operativen Taktiken und verbalen Kommunikationsstile ähnlich sind.

Welche Tools oder Strategien können Cybersicherheitsexperten bei der Untersuchung von 8Base-Vorfällen einsetzen?

Cybersecurity-Fachleute können forensische Analysetools, Threat-Intelligence-Plattformen und KI-gesteuerte Sicherheitslösungen nutzen, um Vorfälle zu untersuchen, Angriffsvektoren aufzudecken und Kompromittierungsindikatoren (Indicators of Compromise, IOCs) im Zusammenhang mit 8Base-Aktivitäten zu identifizieren.