Η νέα ομάδα ransomware, 8Base, εξελίσσεται γρήγορα σε σημαντικό παίκτη στην αγορά του hack αφού τον Ιούνιο κατάφερε να συγκεντρώσει σχεδόν 40 θύματα και να έρθει δεύτερη μετά τη διαβόητη συμμορία LockBit ransomware.
Δείτε επίσης: Ο χάκερ πίσω από το Gozi malware καταδικάστηκε σε τρία χρόνια φυλάκιση στις ΗΠΑ
Η ομάδα έχει επιτεθεί σε σχεδόν 80 οργανισμούς από τον Μάρτιο του 2022 και έχει χρησιμοποιήσει την τακτική του διπλού εκβιασμού της κρυπτογράφησης και του “name and shame”, σύμφωνα με μια νέα έκθεση της VMware.
Η ομάδα 8Base ήταν υπεύθυνη για το 15% των επιθέσεων τον Μάιο, καθώς η ομάδα άρχισε να δημοσιεύει δεδομένα από θύματα που παραβιάστηκαν μεταξύ Απριλίου 2022 και Μαΐου 2023, σύμφωνα με έκθεση της NCC Group που δημοσιεύθηκε την περασμένη εβδομάδα. Οι επιθέσεις Ransomware αυξήθηκαν κατακόρυφα τον Μάιο, πλήττοντας 436 θύματα. Το Lockbit 3.0 παρέμεινε ο πιο ενεργός απειλητικός φορέας το 2023 και ήταν υπεύθυνος για 78 γνωστά θύματα, αντιπροσωπεύοντας το 18% όλων των περιστατικών που παρακολουθήθηκαν τον Μάιο.
Δείτε επίσης: BlackCat ransomware: Προωθεί το Cobalt Strike μέσω διαφημίσεων αναζήτησης WinSCP
Η πλειονότητα των στόχων της 8Base βρίσκεται στον βιομηχανικό τομέα, σύμφωνα με τον όμιλο NCC. Η VMware δήλωσε ότι στόχος είναι επίσης οι επιχειρηματικές υπηρεσίες, τα χρηματοπιστωτικά, η μεταποίηση και οι βιομηχανίες πληροφορικής. Μέχρι στιγμής, ο όμιλος έχει καταγράψει 38 θύματα για τον Ιούνιο. Χρησιμοποιεί έναν ιστότοπο διαρροής δεδομένων, έναν λογαριασμό Twitter και ένα κανάλι Telegram για να δημοσιοποιεί τα ονόματα των θυμάτων της.
Η δραστηριότητα της ομάδας 8Base είναι παρόμοια με εκείνη της λιγότερο δραστήριας συμμορίας ransomware RansomHouse, η οποία αγοράζει δεδομένα που διέρρευσαν, συνεργάζεται με ιστότοπους διαρροής δεδομένων και στη συνέχεια αποσπά χρήματα από εταιρείες.
Η γλώσσα που χρησιμοποιείται στους ιστότοπους διαρροής, το σημείωμα για τα λύτρα και οι όροι υπηρεσίας και οι σελίδες FAQ και των δύο ομάδων ransomware είναι τρομακτικά παρόμοιες, δήλωσε η VMware. Οι δύο σημαντικότερες διαφορές μεταξύ αυτών των ομάδων είναι οι γραφικές διεπαφές χρήστη και το γεγονός ότι η RansomHouse προσλαμβάνει ανοιχτά συνεργάτες, ενώ η 8Base όχι.
Και οι δύο ομάδες χρησιμοποιούν επίσης πολλές παραλλαγές ransomware στις καμπάνιες τους – τις παραλλαγές της οικογένειας Phobos. Το Phobos λειτουργεί ως ransomware ως υπηρεσία και η 8Base πιθανώς το υιοθέτησε, προσθέτοντας προσαρμογές όπως η προσθήκη των κρυπτογραφημένων αρχείων με το αναγνωριστικό του θύματος, τη διεύθυνση email support@rexsdata.pro και μια επέκταση “.8base”. Το 8Base εντοπίστηκε να χρησιμοποιεί την έκδοση 2.9.1 του Phobos και φορτώνεται χρησιμοποιώντας το SmokeLoader, είπε η VMware.
Δείτε επίσης: Δωρεάν Akira ransomware decryptor βοηθά στην ανάκτηση των αρχείων σας
Ο ιστότοπος έρευνας κακόβουλου λογισμικού Vx-Underground συνέκρινε την παραγωγή της 8Base με τις “Big 3” – τις ομάδες ransomware Conti, LockBit και Alphv – τις οποίες ορίζει ως τις “μεγαλύτερες και πιο παραγωγικές ομάδες ransomware των τελευταίων χρόνων”. Η Vx-Underground θεωρεί ότι η 8Base είναι μια εσωτερική ομάδα ή υποομάδα του LockBit ransomware που αποφάσισε να σχηματίσει τη δική της ομάδα- επιπλέον, προβλέπει ότι “τους επόμενους μήνες θα γίνει ένας μεγάλος παίκτης στη σκηνή του ransomware”.
Πηγή πληροφοριών: bankinfosecurity.com
