Hackers iranianos alegam ter derrubado energia em Israel
Ransomware atinge empresa de logística no Brasil
USP, UFRJ e UFMG sob ataque de negação de serviço
Pane de rede retardou produção na Volkswagen
Site da Prefeitura de Suzano (SP) está fora do ar
DDoS atinge subdomínio da NASA

Assine nossa newsletter Premium e ganhe acesso ao grupo de WhatsApp In_Cyber.
Conheça também a versão Básica

8Base pode ser um fork do Ransomhouse

Share on linkedin
Share on twitter
Share on facebook

Em junho deste ano, o mundo foi varrido por uma nova onda de ataques cibernéticos organizados pelo grupo criminoso 8Base. Os cibercriminosos usam um método de dupla extorsão: eles infectam os computadores das vítimas com um ransomware que bloqueia o acesso aos dados e exigem um resgate para restaurá-los. Se a vítima se recusar a pagar, o grupop ameaça publicar as informações roubadas em seu site de vazamentos na dark web.

O grupo 8Base surgiu em março de 2022, mas até junho de 2023 realizou poucos ataques. No entanto, sua atividade aumentou muito nos últimos 30 dias. Até agora, o 8Base anunciou 35 vítimas em seu site, às vezes até seis em um único dia. Eles se autodenominam “pentesters honestos” e oferecem às empresas “as condições mais leais” para a devolução de seus dados. De acordo com os pesquisadores da Carbon Black, as táticas de ataque do 8Base indicam que eles derivam de outra gangue de ransomware, possivelmente o RansomHouse.

O RansomHouse é um grupo de ransomware que afirma não realizar ataques de criptografia, mas apenas “cooperar” com outras operações de ransomware para vender seus dados. A VMware suspeita que o 8Base é um fork do RansomHouse. As conclusões se devem às coincidências nas notas de resgate, como também seu estilo e conteúdo; até mesmo as páginas de FAQ parecem copiadas.

No entanto, não há confirmação confiável de conexão entre o 8Base e o RansomHouse. Mas não é raro grupos cibercriminosos copiarem notas de resgate, software, métodos e táticas de outras gangues para não perder tempo criando tudo do zero.

Os ataques 8Base usam uma versão modificada do ransomware Phobos v2.9.1, que é carregado via SmokeLoader. O Phobos é um ransomware direcionado ao Windows que atingiu o ciberespaço pela primeira vez em 2019, e também compartilha muitas semelhanças com outro código de ransomware, o Dharma.

Durante o ataque, o vírus, lançado pelos operadores do 8Base, adiciona a extensão “.8base” a todos os arquivos criptografados. O especialista em ransomware Michael Gillespie disse que o ransomware Phobos também usava uma extensão “.eight” para arquivos criptografados. Além disso, ambos os programas, Phobos e 8Base, usam o mesmo endereço de e-mail para entrar em contato com os invasores – “helpermail@onionmail[.]org”.

Outra descoberta dos analistas da VMware Carbon Black é que o 8Base usa o domínio “admlogs25[.]xyz” para hospedar um payload relacionado ao SystemBC , um software proxy malicioso usado por vários grupos de ransomware para ofuscar a infraestrutura C2.

Todas essas descobertas dos pesquisadores mostram que os operadores do 8Base realizam ataques de criptografia há pelo menos um ano, mas só recentemente ganharam atenção – após o lançamento de seu site de violação de dados e um aumento na atividade.

8Base está apenas começando a chamar a atenção dos analistas, muitos aspectos de sua natureza técnica permanecem desconhecidos ou obscuros. O relatório da VMware também contém indicadores de comprometimento ( IoC ) que outros profissionais de segurança cibernética podem usar para proteger seus sistemas.