Los actores de amenazas detrás del 8Base ransomware están aprovechando una variante del ransomware Phobos para llevar a cabo sus ataques con motivación financiera.
Los hallazgos provienen de Cisco Talos, que ha registrado un aumento en la actividad llevada a cabo por los ciberdelincuentes.
«La mayoría de las variantes del grupo Phobos son distribuidas por SmokeLoader, un troyano de puerta trasera», afirma en un exhaustivo estudio el investigador de seguridad Guilherme Venere. dos partes análisis publicado el viernes.
«Este cargador de productos normalmente suelta o descarga cargas útiles adicionales cuando se implementa. Sin embargo, en las campañas de 8Base, tiene el componente de ransomware integrado en sus cargas útiles cifradas, que luego se descifra y se carga en la memoria del proceso SmokeLoader».
8Base llamó la atención a mediados de 2023, cuando la comunidad de ciberseguridad observó un aumento similar en la actividad. Se dice que estará activo al menos desde marzo de 2022.
Un análisis anterior de VMware Carbon Black en junio de 2023 identificó paralelismos entre 8Base y RansomHouse, además de descubrir una muestra de ransomware Phobos que se encontró usando la extensión de archivo «.8base» para archivos cifrados.
Esto aumentó la probabilidad de que 8Base sea un sucesor de Phobos o que los actores de amenazas detrás de la operación simplemente estén utilizando cepas de ransomware ya existentes para llevar a cabo sus ataques, similar al grupo de ransomware Vice Society.
Los últimos hallazgos de Cisco Talos muestran que SmokeLoader se utiliza como plataforma de lanzamiento para ejecutar el Carga útil de Fobosque luego lleva a cabo pasos para establecer la persistencia, finalizar procesos que pueden mantener abiertos los archivos de destino, deshabilitar la recuperación del sistema y eliminar copias de seguridad y instantáneas.
Otra característica notable es el cifrado completo de archivos que tienen menos de 1,5 MB y el cifrado parcial de archivos que superan el umbral para acelerar el proceso de cifrado.
Además, el artefacto incorpora una configuración con más de 70 opciones que se cifra mediante una clave codificada. La configuración desbloquea funciones adicionales como el Control de cuentas de usuario (UAC) omitir y reportar la infección de una víctima a una URL externa.
También hay una clave RSA codificada que se utiliza para proteger la clave AES por archivo utilizada en el cifrado, que según Talos podría ayudar a permitir el descifrado de archivos bloqueados por el ransomware.
«Una vez que se cifra cada archivo, la clave utilizada en el cifrado junto con los metadatos adicionales se cifra utilizando RSA-1024 con una clave pública codificada y se guarda al final del archivo», explicó Venere.
«Sin embargo, implica que una vez que se conoce la clave RSA privada, cualquier archivo cifrado por cualquier variante de Phobos desde 2019 se puede descifrar de forma fiable».
Fobosque surgió por primera vez en 2019, es una evolución del ransomware Dharma (también conocido como Crysis), y el ransomware se manifiesta predominantemente como las variantes Eking, Eight, Elbie, Devos y Faust, según el volumen de artefactos descubiertos en VirusTotal.
«Todas las muestras contenían el mismo código fuente y estaban configuradas para evitar el cifrado de archivos que otros afiliados de Phobos ya bloqueaban, pero la configuración cambiaba ligeramente dependiendo de la variante que se implementaba», dijo Venere. «Esto se basa en una lista de bloqueo de extensiones de archivo en los ajustes de configuración del ransomware».
Cisco Talos evalúa que Phobos está estrechamente administrado por una autoridad central, mientras que se vende como ransomware como servicio (RaaS) a otros afiliados basándose en la misma clave pública RSA, las variaciones en los correos electrónicos de contacto y las actualizaciones periódicas de las listas de bloqueo de extensiones del ransomware.
«Las listas de bloqueo de extensión parecen contar una historia de qué grupos utilizaron esa misma muestra base a lo largo del tiempo», dijo Venere.
«Las listas de bloqueo de extensión que se encuentran en muchas muestras de Phobos […] se actualizan continuamente con nuevos archivos que se han bloqueado en campañas anteriores de Phobos. Esto puede respaldar la idea de que existe una autoridad central detrás del constructor que realiza un seguimiento de quién utilizó Phobos en el pasado. La intención podría ser evitar que los afiliados de Phobos interfieran con las operaciones de los demás».
El desarrollo llega como FalconFeeds revelado que un actor de amenazas está anunciando un sofisticado producto de ransomware llamado UBUD que está desarrollado en C y presenta «fuertes medidas antidetección contra máquinas virtuales y herramientas de depuración».
También sigue a una queja formal presentada por el grupo de ransomware BlackCat ante la Comisión de Bolsa y Valores de EE. UU. (SEC), alegando que una de sus víctimas, MeridianLink, no cumplió con las nuevas regulaciones de divulgación que requieren que las empresas afectadas informen el incidente dentro de los cuatro días hábiles. días, DataBreaches.net reportado.
Desde entonces, la compañía de software financiero confirmó que fue objetivo de un ciberataque el 10 de noviembre, pero señaló que no encontró evidencia de acceso no autorizado a sus sistemas.
Si bien las reglas de divulgación de la SEC no entrarán en vigor hasta el próximo 18 de diciembre, la inusual táctica de presión es una señal de que los actores de amenazas están observando de cerca el espacio y están dispuestos a doblar las regulaciones gubernamentales a su favor y obligar a las víctimas a pagar.
Dicho esto, vale la pena señalar que la aplicación de la ley se aplica exclusivamente en situaciones en las que las empresas han identificado que los ataques han tenido un impacto «material» en sus resultados.
Mientras tanto, otra prolífica banda de ransomware, LockBit, ha instituido nuevas reglas de negociación a partir de octubre de 2023, citando acuerdos menos de lo esperado y mayores descuentos ofrecidos a las víctimas debido a los «diferentes niveles de experiencia de los afiliados».
«Establecer una solicitud de rescate mínima en función de los ingresos anuales de la empresa, por ejemplo del 3%, y prohibir descuentos superiores al 50%», dijeron los operadores de LockBit, según un reporte detallado del Analista1.
«Por lo tanto, si los ingresos de la empresa son de 100 millones de dólares, la solicitud de rescate inicial debe comenzar desde 3 millones de dólares y el pago final no debe ser inferior a 1,5 millones de dólares».