Η ιστοσελίδα του “victim shaming” που λειτουργούσαν οι κυβερνοεγκληματίες πίσω από το 8Base – επί του παρόντος μια από τις πιο ενεργές ομάδες ransomware – διέρρεε μέχρι νωρίτερα σήμερα αρκετές πληροφορίες που η εγκληματική ομάδα πιθανότατα δεν σκόπευε να δημοσιοποιήσει. Τα στοιχεία που διέρρευσαν υποδηλώνουν ότι τουλάχιστον μέρος του κώδικα του ιστότοπου γράφτηκε από έναν 36χρονο προγραμματιστή που κατοικεί στην πρωτεύουσα της Μολδαβίας.
Δείτε επίσης: Bumblebee malware: Νέες επιθέσεις κάνουν κατάχρηση φακέλων WebDAV
Η 8Base διατηρεί έναν ιστότοπο darknet που είναι προσβάσιμος μόνο μέσω του Tor. Ο ιστότοπος αναφέρει εκατοντάδες οργανισμούς και εταιρείες που θεωρούνται θύματα hack, καθώς αρνήθηκαν να πληρώσουν λύτρα για να αποτρέψουν τη δημοσίευση των κλεμμένων δεδομένων τους.
Η σελίδα darknet του 8Base διαθέτει επίσης μια ενσωματωμένη δυνατότητα συνομιλίας, προφανώς έτσι ώστε οι θύματα του 8Base να μπορούν να επικοινωνούν και να διαπραγματεύονται με τους διαχειριστές του ransomware. Αυτή η δυνατότητα συνομιλίας, που λειτουργεί με το πλαίσιο εφαρμογής ιστού Laravel, λειτουργεί καλά όσον αφορά την αποστολή πληροφοριών στην ιστοσελίδα (δηλαδή με την αποστολή ενός αιτήματος “POST”).
Ο κομήτης C/2024 S1 μπορεί να είναι ορατός με γυμνό μάτι
Πώς να Σαρώσετε με Ασφάλεια QR Codes;
OpenAI: Hackers παρεμβαίνουν στις εκλογές χρησιμοποιώντας AI
Δείτε επίσης: Οι υπάλληλοι που κάνουν συνεχώς κλικ σε phishing emails θα πρέπει να απολύονται;
Ωστόσο, αν κάποιος προσπαθούσε να ανακτήσει δεδομένα από την ίδια υπηρεσία συνομιλίας (δηλαδή, κάνοντας ένα αίτημα “GET”), η ιστοσελίδα από πολύ πρόσφατα παρήγαγε έναν ακατάληπτα αναλυτικό μήνυμα σφάλματος.
Αυτή η σελίδα σφάλματος αποκάλυψε την πραγματική διεύθυνση Διαδικτύου της κρυφής υπηρεσίας Tor που φιλοξενεί τον ιστότοπο 8Base: 95.216.51[.]74, ο οποίος σύμφωνα με το DomainTools.com είναι ένας διακομιστής στη Φινλανδία που συνδέεται με τον γίγαντα hosting Hetzner με έδρα τη Γερμανία.
Αλλά αυτό δεν είναι το ενδιαφέρον μέρος: Κάνοντας scroll προς τα κάτω στο μακροσκελές μήνυμα σφάλματος, μπορούμε να δούμε έναν σύνδεσμο προς έναν ιδιωτικό διακομιστή Gitlab που ονομάζεται Jcube-group: gitlab[.]com/jcube-group/clients/apex/8base-v2. Ψάχνοντας περαιτέρω σε αυτόν τον λογαριασμό Gitlab, μπορούμε να βρούμε ορισμένα περίεργα data points διαθέσιμα στο δημόσιο αποθετήριο κώδικα του Ομίλου JCube.
Για παράδειγμα, αυτή η σελίδα “status.php”, η οποία δεσμεύτηκε στο αποθετήριο Gitlab της JCube Group πριν από περίπου ένα μήνα, περιλαμβάνει κώδικα που κάνει αρκετές αναφορές στον όρο “KYC” (π.χ. KYC_UNVERIFIED, KYC_VERIFIED και KYC_PENDING).
Δείτε επίσης: Auckland Transport: Η ομάδα Medusa έκλεψε δεδομένα
Αυτό είναι περίεργο, καθώς ένα σύνολο συχνών ερωτήσεων στον ιστότοπο του 8Base στο Darknet περιλαμβάνει μια ενότητα με τίτλο “ειδικές προσφορές για δημοσιογράφους και ρεπόρτερ”, η οποία αναφέρει ότι η εγκληματική ομάδα είναι ανοιχτή για συνεντεύξεις, αλλά οι δημοσιογράφοι πρέπει να αποδείξουν την ταυτότητά τους πριν γίνει οποιαδήποτε συνέντευξη. Το FAQ του 8Base αναφέρεται σε αυτήν τη διαδικασία ελέγχου ταυτότητας ως “KYC”, που σημαίνει “Know Your Customer.”
Η ιστοσελίδα του 8Base στο darknet διαθέτει επίσης μια δημόσια προσβάσιμη σελίδα σύνδεσης “admin”, η οποία περιλαμβάνει μια εικόνα ενός εμπορικού επιβατικού αεροσκάφους που φαίνεται να βρίσκεται σε αεροδρόμιο. Δίπλα στη φωτογραφία του αεροπλάνου υπάρχει ένα μήνυμα που λέει: “Καλώς ήρθατε στο 8Base. Σύνδεση διαχειριστή στον πίνακα ελέγχου του 8Base.”
Κάνοντας δεξί κλικ στη σελίδα διαχειριστή 8Base και επιλέγοντας “View Source” δημιουργείται ο κώδικας HTML της σελίδας. Αυτός ο κώδικας είναι σχεδόν πανομοιότυπος με μια σελίδα “login.blade.php” που δημιουργήθηκε και δεσμεύτηκε στο αποθετήριο Gitlab του JCube Group πριν από περίπου τρεις εβδομάδες.
Φαίνεται ότι ο υπεύθυνος για τον κώδικα της JCube Group είναι ο 36χρονος προγραμματιστής από το Κισινάου της Μολδαβίας, με το όνομα Andrei Kolev. Η σελίδα του κ. Kolev στο LinkedIn αναφέρει ότι είναι full-stack developer στη JCube Group και ότι αυτή τη στιγμή αναζητά εργασία. Η αρχική σελίδα της Jcubegroup[.]com παραθέτει μια διεύθυνση και έναν αριθμό τηλεφώνου που τα επίσημα μολδαβικά επιχειρηματικά αρχεία επιβεβαιώνουν ότι συνδέονται με τον κ. Kolev.
Οι αναρτήσεις στον λογαριασμό Twitter για τον κ. Kolev (@andrewkolev) είναι όλες γραμμένες στα ρωσικά και αναφέρονται σε πολλές διαδικτυακές επιχειρήσεις που δεν λειτουργούν πλέον, συμπεριλαμβανομένου του pluginspro[.]ru.
Αφού ζητήθηκε σχόλιο μέσω του LinkedIn, ο κ. Kolev δήλωσε ότι δεν είχε ιδέα γιατί το darknet site 8Base επιλέγει κώδικα από τον φάκελο “clients” του ιδιωτικού αποθετηρίου JCube Group στο Gitlab, ούτε πώς περιλαμβάνεται το όνομα 8Base.
Ο κ. Kolev μοιράστηκε ένα screenshot από τα τρέχοντα έργα του, αλλά πολύ γρήγορα το διέγραψε. Ωστόσο, το KrebsOnSecurity κατέγραψε ένα αντίγραφο της εικόνας προτού αφαιρεθεί:
KrebsOnSecurity: Εντός λίγων λεπτών από την εξήγηση του γιατί επικοινώνησα με τον κ. Κολέφ και την ανάλυση της διαδικασίας εύρεσης αυτής της σύνδεσης, η ιστοσελίδα του 8Base άλλαξε και το μήνυμα σφάλματος που συνδέονταν με το ιδιωτικό αποθετήριο Gitlab της JCube Group δεν εμφανίζονταν πλέον. Αντίθετα, η προσπάθεια να εκτελέσουμε την ίδια “GET” μέθοδο που περιγράφηκε παραπάνω προκάλεσε την επιστροφή μιας σελίδας σφάλματος “405 Method Not Allowed” από την ιστοσελίδα του 8Base.
Ο κύριος Κολέφ ισχυρίστηκε ότι δεν γνώριζε τίποτα για την τώρα αφαιρεθείσα σελίδα σφάλματος στον ιστότοπο της 8Base που αναφερόταν στο ιδιωτικό Gitlab αποθετήριό του, και είπε ότι διέγραψε το screenshot από τη συνομιλία στο LinkedIn επειδή περιείχε προσωπικές πληροφορίες.
Οι ομάδες ransomware είναι γνωστό ότι προσλαμβάνουν εξ αποστάσεως προγραμματιστές για συγκεκριμένα έργα χωρίς να αποκαλύπτουν ακριβώς ποιοι είναι ή πώς προορίζεται να χρησιμοποιηθεί ο κώδικας της νέας πρόσληψης και είναι πιθανό ένας από τους πελάτες του κ. Kolev να είναι η 8Base.
Ένα πρόσφατο άρθρο στο blog της VMware αποκαλεί την ομάδα 8Base ransomware “έναν ισχυρό παίκτη” που παρέμενε σχετικά άγνωστος παρά την τεράστια αύξηση της δραστηριότητάς του το καλοκαίρι του 2023.
Σύμφωνα με την VMware, αυτό που είναι ιδιαίτερα ενδιαφέρον στο στυλ επικοινωνίας της 8Base είναι η χρήση εκφράσεων που θυμίζουν σημαντικά άλλη γνωστή ομάδα κυβερνοεγκληματιών: RansomHouse.
Πηγή πληροφοριών: krebsonsecurity.com