Una amenaza de ransomware llamada 8Base que ha estado operando bajo el radar durante más de un año se ha atribuido a un «pico masivo en la actividad» en mayo y junio de 2023.
«El grupo utiliza encriptación junto con técnicas de ‘nombre y vergüenza’ para obligar a sus víctimas a pagar sus rescates», investigadores de VMware Carbon Black Deborah Snyder y Fae Carlisle dicho en un informe compartido con The Hacker News. «8Base tiene un patrón oportunista de compromiso con víctimas recientes que abarcan diversas industrias».
8Base, según estadísticas recopiladas por Malwarebytes y Grupo CNCse ha relacionado con 67 ataques hasta mayo de 2023, con alrededor del 50% de las víctimas operando en los sectores de servicios empresariales, manufactura y construcción. La mayoría de las empresas objetivo están ubicadas en EE. UU. y Brasil.
Con muy poco conocimiento sobre los operadores del ransomware, sus orígenes siguen siendo una especie de cifrado. Lo que es evidente es que ha estado activo al menos desde marzo de 2022 y los actores se describen a sí mismos como «simples pentesters».
VMware dijo que 8Base es «sorprendentemente» similar a la de otro grupo de extorsión de datos rastreado como RescateCasacitando superposiciones en las notas de rescate lanzadas en máquinas comprometidas y el lenguaje utilizado en los respectivos portales de fuga de datos.
«La palabrería se copia palabra por palabra de la página de bienvenida de RansomHouse a la página de bienvenida de 8Base», dijeron los investigadores. «Este es el caso de sus páginas de Términos de servicio y páginas de preguntas frecuentes».
Una comparación de los dos grupos de amenazas revela que mientras RansomHouse anuncia abiertamente sus asociaciones, 8Base no lo hace. Otro diferenciador crucial son sus páginas de fugas.
Pero en un giro interesante, VMware notó que pudo identificar un ransomware Fobos muestra que usa la extensión de archivo «.8base» para archivos cifrados, lo que plantea la posibilidad de que 8Base pueda ser un sucesor de Phobos o que los atacantes simplemente estén utilizando cepas de ransomware ya existentes sin tener que desarrollar su propio casillero personalizado.
«La velocidad y la eficiencia de las operaciones actuales de 8Base no indican el comienzo de un nuevo grupo, sino que significan la continuación de una organización madura bien establecida», dijeron los investigadores. «Queda por ver si 8Base es una rama de Phobos o RansomHouse».
8Base es parte de un ola de novatos en ransomware entrar en el mercado como CryptNet, Xollamy Malloxincluso como familias conocidas como BlackCat, LockBit y trigona han sido testigos de actualizaciones continuas de sus características y cadenas de ataque para ampliar sus horizontes más allá de Windows para infectar sistemas Linux y macOS.
Una instancia destacada por Cyble implica el uso de BATLOADER para implementar Mallox, lo que sugiere que los actores de amenazas están refinando activamente sus tácticas para «mejorar la evasión y mantener sus actividades maliciosas».
«Los grupos adoptan el código de otros grupos y los afiliados, que pueden considerarse grupos de delitos cibernéticos por derecho propio, cambian entre diferentes tipos de malware», Kaspersky dicho en un análisis la semana pasada. «Los grupos trabajan en las actualizaciones de su malware, agregando funciones y brindando soporte para múltiples plataformas que antes no eran compatibles, una tendencia que existe desde hace algún tiempo».