Une menace de ransomware appelée 8Base qui a fonctionné sous le radar pendant plus d’un an a été attribué à un « pic massif d’activité » en mai et juin 2023.
« Le groupe utilise le cryptage associé à des techniques de » nom et honte « pour obliger leurs victimes à payer leurs rançons », ont déclaré Deborah Snyder et Fae Carlisle, chercheuses de VMware Carbon Black. a dit dans un rapport partagé avec The Hacker News. « 8Base a un modèle opportuniste de compromis avec des victimes récentes couvrant diverses industries. »
8Base, selon les statistiques recueillies par Malwarebytes et Groupe CNCa été lié à 67 attaques en mai 2023, avec environ 50% des victimes en fonctionnement dans les secteurs des services aux entreprises, de la fabrication et de la construction. La majorité des entreprises ciblées sont situées aux États-Unis et au Brésil.
Avec très peu de connaissances sur les opérateurs du ransomware, ses origines restent quelque peu chiffrées. Ce qui est évident, c’est qu’il est actif depuis au moins mars 2022 et que les acteurs se décrivent comme de « simples pentesters ».
VMware a déclaré que 8Base est « étonnamment » similaire à celui d’un autre groupe d’extorsion de données suivi comme RançonMaisoncitant des chevauchements dans les notes de rançon déposées sur les machines compromises et le langage utilisé dans les portails de fuite de données respectifs.
« Le verbiage est copié mot pour mot de la page d’accueil de RansomHouse à la page d’accueil de 8Base », ont déclaré les chercheurs. « C’est le cas pour leurs pages de conditions d’utilisation et leurs pages de FAQ. »
Une comparaison des deux groupes de menaces révèle que si RansomHouse annonce ouvertement leurs partenariats, 8Base ne le fait pas. Un autre différenciateur crucial est leurs pages de fuite.
Mais dans une tournure intéressante, VMware a noté qu’il était capable d’identifier un Logiciel de rançon Phobos exemple qui utilise l’extension de fichier « .8base » pour les fichiers cryptés, ce qui soulève la possibilité que 8Base puisse être un successeur de Phobos ou que les attaquants utilisent simplement des souches de ransomware déjà existantes sans avoir à développer leur propre casier personnalisé.
« La rapidité et l’efficacité des opérations actuelles de 8Base n’indiquent pas le début d’un nouveau groupe mais signifient plutôt la continuation d’une organisation mature bien établie », ont déclaré les chercheurs. « Que 8Base soit une ramification de Phobos ou de RansomHouse reste à voir. »
8Base fait partie d’un vague de débutants ransomware entrer sur le marché comme CryptNet, Xollamet Malloxmême en tant que familles connues comme BlackCat, LockBit et Trigone ont été témoins de mises à jour continues de leurs fonctionnalités et de leurs chaînes d’attaque pour élargir leurs horizons au-delà de Windows pour infecter les systèmes Linux et macOS.
Un exemple mis en évidence par Cyble implique l’utilisation de BATLOADER pour déployer Mallox, suggérant que les acteurs de la menace affinent activement leurs tactiques pour « améliorer l’évasion et maintenir leurs activités malveillantes ».
« Les groupes adoptent le code d’autres groupes et les affiliés – qui peuvent être considérés comme des groupes de cybercriminalité à part entière – basculent entre différents types de logiciels malveillants », Kaspersky a dit dans une analyse la semaine dernière. « Les groupes travaillent sur des mises à niveau de leurs logiciels malveillants, en ajoutant des fonctionnalités et en fournissant un support pour plusieurs plates-formes auparavant non prises en charge, une tendance qui existait depuis un certain temps maintenant. »