Atividade do Ransomware 8Base aumenta e ameaça empresas dos Estados Unidos e do Brasil
28 de Junho de 2023

Uma ameaça de ransomware chamada 8Base, que tem operado discretamente há mais de um ano, foi atribuída a um "aumento maciço de atividade" em maio e junho de 2023.

"O grupo utiliza criptografia combinada com técnicas de 'nome e vergonha' para obrigar suas vítimas a pagar os resgates", disseram os pesquisadores Deborah Snyder e Fae Carlisle, da VMware Carbon Black, em um relatório compartilhado com o The Hacker News.

"A 8Base tem um padrão oportunista de comprometimento, com vítimas recentes abrangendo diversas indústrias".

De acordo com estatísticas reunidas pela Malwarebytes e pelo NCC Group, a 8Base está ligada a 67 ataques até maio de 2023, com cerca de 50% das vítimas atuando nos setores de serviços empresariais, manufatura e construção.

A maioria das empresas-alvo está localizada nos Estados Unidos e no Brasil.

Com muito pouco conhecimento sobre os operadores do ransomware, suas origens continuam sendo um mistério.

O que é evidente é que ele está ativo desde pelo menos março de 2022 e os atores se descrevem como "pentesters simples".

A VMware afirmou que a 8Base é "surpreendentemente" semelhante à de outro grupo de extorsão de dados rastreado como RansomHouse, citando sobreposições nas notas de resgate deixadas nas máquinas comprometidas e na linguagem utilizada nos respectivos portais de vazamento de dados.

"A redação é copiada palavra por palavra da página de boas-vindas do RansomHouse para a página de boas-vindas da 8Base", disseram os pesquisadores.

"Isso ocorre também em suas páginas de Termos de Serviço e Perguntas Frequentes."

Uma comparação entre os dois grupos de ameaças revela que, enquanto o RansomHouse anuncia abertamente suas parcerias, a 8Base não o faz.

Outra diferença crucial são suas páginas de vazamento.

Mas, em uma reviravolta interessante, a VMware observou que conseguiu identificar um ransomware chamado Phobos que usa a extensão de arquivo ".8base" para arquivos criptografados, levantando a possibilidade de que a 8Base possa ser uma sucessora do Phobos ou que os atacantes estejam simplesmente usando cepas de ransomware já existentes sem precisar desenvolver seu próprio software personalizado.

"A velocidade e eficiência das operações atuais da 8Base não indicam o início de um novo grupo, mas sim a continuação de uma organização madura e bem estabelecida", disseram os pesquisadores.

"Se a 8Base é uma ramificação do Phobos ou do RansomHouse ainda está por ser visto".

A 8Base faz parte de uma onda de ransomwares novatos que estão entrando no mercado, como CryptNet, Xollam e Mallox, mesmo enquanto famílias conhecidas como BlackCat, LockBit e Trigona têm testemunhado atualizações contínuas em suas características e cadeias de ataque para expandir seus horizontes além do Windows e infectar sistemas Linux e macOS.

Um exemplo destacado pela Cyble envolve o uso do BATLOADER para implantar o Mallox, sugerindo que os atores da ameaça estão refinando ativamente suas táticas para "aumentar a evasão e manter suas atividades maliciosas".

"Grupos adotam o código de outros grupos e afiliados - que podem ser considerados grupos de crimes cibernéticos por si só - alternam entre diferentes tipos de malware", disse a Kaspersky em uma análise na semana passada.

"Grupos trabalham em atualizações de seu malware, adicionando recursos e fornecendo suporte para múltiplas plataformas anteriormente não suportadas, uma tendência que existe há algum tempo".

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...