Uma ameaça de ransomware chamada 8Base, que tem operado discretamente há mais de um ano, foi atribuída a um "aumento maciço de atividade" em maio e junho de 2023.
"O grupo utiliza criptografia combinada com técnicas de 'nome e vergonha' para obrigar suas vítimas a pagar os resgates", disseram os pesquisadores Deborah Snyder e Fae Carlisle, da VMware Carbon Black, em um relatório compartilhado com o The Hacker News.
"A 8Base tem um padrão oportunista de comprometimento, com vítimas recentes abrangendo diversas indústrias".
De acordo com estatísticas reunidas pela Malwarebytes e pelo NCC Group, a 8Base está ligada a 67 ataques até maio de 2023, com cerca de 50% das vítimas atuando nos setores de serviços empresariais, manufatura e construção.
A maioria das empresas-alvo está localizada nos Estados Unidos e no Brasil.
Com muito pouco conhecimento sobre os operadores do ransomware, suas origens continuam sendo um mistério.
O que é evidente é que ele está ativo desde pelo menos março de 2022 e os atores se descrevem como "pentesters simples".
A VMware afirmou que a 8Base é "surpreendentemente" semelhante à de outro grupo de extorsão de dados rastreado como RansomHouse, citando sobreposições nas notas de resgate deixadas nas máquinas comprometidas e na linguagem utilizada nos respectivos portais de vazamento de dados.
"A redação é copiada palavra por palavra da página de boas-vindas do RansomHouse para a página de boas-vindas da 8Base", disseram os pesquisadores.
"Isso ocorre também em suas páginas de Termos de Serviço e Perguntas Frequentes."
Uma comparação entre os dois grupos de ameaças revela que, enquanto o RansomHouse anuncia abertamente suas parcerias, a 8Base não o faz.
Outra diferença crucial são suas páginas de vazamento.
Mas, em uma reviravolta interessante, a VMware observou que conseguiu identificar um ransomware chamado Phobos que usa a extensão de arquivo ".8base" para arquivos criptografados, levantando a possibilidade de que a 8Base possa ser uma sucessora do Phobos ou que os atacantes estejam simplesmente usando cepas de ransomware já existentes sem precisar desenvolver seu próprio software personalizado.
"A velocidade e eficiência das operações atuais da 8Base não indicam o início de um novo grupo, mas sim a continuação de uma organização madura e bem estabelecida", disseram os pesquisadores.
"Se a 8Base é uma ramificação do Phobos ou do RansomHouse ainda está por ser visto".
A 8Base faz parte de uma onda de ransomwares novatos que estão entrando no mercado, como CryptNet, Xollam e Mallox, mesmo enquanto famílias conhecidas como BlackCat, LockBit e Trigona têm testemunhado atualizações contínuas em suas características e cadeias de ataque para expandir seus horizontes além do Windows e infectar sistemas Linux e macOS.
Um exemplo destacado pela Cyble envolve o uso do BATLOADER para implantar o Mallox, sugerindo que os atores da ameaça estão refinando ativamente suas táticas para "aumentar a evasão e manter suas atividades maliciosas".
"Grupos adotam o código de outros grupos e afiliados - que podem ser considerados grupos de crimes cibernéticos por si só - alternam entre diferentes tipos de malware", disse a Kaspersky em uma análise na semana passada.
"Grupos trabalham em atualizações de seu malware, adicionando recursos e fornecendo suporte para múltiplas plataformas anteriormente não suportadas, uma tendência que existe há algum tempo".
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...