Ameaça de ransomware chamada 8Base, que vem operando sem chamar a atenção há mais de um ano, teve um “aumento massivo de atividade” em maio e junho de 2023.
O grupo utiliza criptografia combinada com técnicas de “nome e vergonha” para obrigar suas vítimas a pagarem o resgate, segundo pesquisadores da VMware Carbon Black, Deborah Snyder e Fae Carlisle, em um relatório compartilhado a um site de notícias americano. A 8Base tem um padrão oportunista de ataque a vítimas recentes de várias indústrias.
De acordo com estatísticas da Malwarebytes e do NCC Group, a 8Base foi vinculada a 67 ataques até maio de 2023, sendo cerca de 50% das vítimas empresas de serviços comerciais, manufatura e construção. A maioria das empresas atacadas está localizada nos EUA e no Brasil. Mas também com uma vaga crescente em Portugal e Austrália.
Sabe-se muito pouco sobre os operadores desse ransomware, e suas origens ainda são desconhecidas. O que é evidente é que está ativo desde pelo menos março de 2022 e os atores se descrevem como “honestos e simples pentesters”.
A VMware afirma que a 8Base é “surpreendentemente” semelhante a outro grupo de extorsão de dados chamado RansomHouse, citando sobreposições nos avisos de resgate deixados nas máquinas comprometidas e na linguagem usada nos portais de vazamento de dados respectivos.
Um ponto de comparação entre os dois grupos revela que, enquanto o RansomHouse divulga abertamente suas parcerias, a 8Base não o faz. Outra diferença crucial está em suas páginas de vazamento de dados.
Curiosamente, a VMware observou que identificou uma amostra do ransomware Phobos que usa a extensão de arquivo “.8base” para arquivos criptografados, levantando a possibilidade de que a 8Base possa ser uma versão posterior do Phobos ou que os atacantes estejam simplesmente aproveitando strains de ransomware já existentes em vez de desenvolverem seu próprio malware personalizado.
Os pesquisadores afirmam que a velocidade e eficiência das operações atuais da 8Base não indicam o início de um novo grupo, mas sim a continuação de uma organização bem estabelecida e madura. Eles continuam investigando se a 8Base é uma ramificação do Phobos ou do RansomHouse.
A 8Base faz parte de uma onda de novos ransomwares entrando no mercado, como Big Head, CryptNet, Mallox e Xollam, mesmo enquanto famílias conhecidas como BlackCat, LockBit e Trigona continuam atualizando suas funcionalidades e cadeias de ataque para infectar sistemas Linux e macOS, além do Windows.
Um exemplo destacado pela Cyble envolve o uso do BATLOADER para implantar o Mallox, sugerindo que os atores dessa ameaça estão refinando suas táticas para “aumentar a evasão e manter suas atividades maliciosas”.
Esse artigo foi interessante? Siga-nos nas redes sociais e se inscreva em nossa newsletter para ler mais conteúdos exclusivos que postamos.
Obtenha mais coisas como esta
Inscreva-se em nossa newsletter e receba conteúdos interessantes e atualizações em sua caixa de entrada de e-mail.
Obrigado por se inscrever.
Algo correu mal.