Bir 8Base fidye yazılımı çetesi, Haziran ayının başından bu yana sürekli yeni kurban akışıyla birlikte çifte gasp saldırılarında dünya çapındaki kuruluşları hedef alıyor.
Fidye yazılımı çetesi ilk olarak Mart 2022’de ortaya çıktı ve birkaç kayda değer saldırı ile nispeten sessiz kaldı.
Bununla birlikte, Haziran 2023’te fidye yazılımı operasyonu, çeşitli sektörlerdeki birçok şirketi hedef alarak ve çifte gasp gerçekleştirerek faaliyette bir artış gördü.
Şimdiye kadar 8Base, dark web şantaj sitesinde 35 kurban listeledi ve bazı günler aynı anda altı kurbana kadar duyurdu.
Bu, aşağıdaki grafikte gösterildiği gibi, grubun yalnızca bir avuç kurbanı listelediği Mart ve Nisan aylarına kıyasla dikkate değer bir artış.
Çetenin veri sızdırma sitesi Mayıs 2023’te piyasaya sürüldügasp çetesinin “dürüst ve basit” sızma testçileri olduğunu iddia etmesiyle.
Veri sızıntısı sitesinde “Biz dürüst ve basit sızma testçileriyiz. Şirketlere verilerinin iadesi için en sadık koşulları sunuyoruz” diyor.
“Bu liste yalnızca çalışanlarının ve müşterilerinin verilerinin gizliliğini ve önemini ihmal eden şirketleri içermektedir.”
Kaynak: BleepingComputer
Diğer fidye yazılımı gruplarına bağlantılar
VMware’in Carbon Black ekibi tarafından hazırlanan yeni bir raporda, son 8Base saldırılarında görülen taktikler, bunların köklü bir fidye yazılımı organizasyonunun, potansiyel olarak RansomHouse’un yeniden markası olduğuna işaret ediyor.
RansomHouse, şifreleme saldırıları gerçekleştirmediğini iddia eden, bunun yerine verilerini satmak için fidye yazılımı operasyonlarıyla ortak olan bir gasp grubudur. Ancak BleepingComputer, siber suç grubu FIN8 ile de bağlantılı olan White Rabbit veya MARIO gibi saldırılarda fidye yazılımı kullanan tehdit aktörlerinin farkındadır.
VMware, iki grup tarafından kullanılan aynı fidye notlarına ve SSS sayfalarının bile kopyalanıp yapıştırılmış gibi göründüğü ilgili sızıntı sitelerinde görülen çok benzer dil ve içeriğe dayanarak 8Base’in RansomHouse’un bir yan ürünü olduğundan şüpheleniyor.
Bununla birlikte, 8Base’in RansomHouse üyeleri tarafından mı yoksa yerleşik bir grubun şablonlarını kopyalayan başka bir fidye yazılımı operasyonu tarafından mı oluşturulduğunu belirlemek için yeterli kanıt yok ki bu, tehdit aktörleri arasında görülmesi nadir değildir.
Teknik açıdan 8Base, SmokeLoader aracılığıyla yüklenen Phobos v2.9.1 fidye yazılımının özelleştirilmiş bir sürümünü kullanır.
Phobos, ilk olarak 2019’da ortaya çıkan ve Dharma fidye yazılımı operasyonuyla birçok kod benzerliği paylaşan Windows hedefli bir RaaS operasyonudur.
Dosyaları şifrelerken, fidye yazılımı .8 taban Son saldırılarda uzantı. Ancak, fidye yazılımı uzmanı Michael Gillespie BleepingComputer’a Phobos fidye yazılımının ID Ransomware ile ilgili gönderilerinin de kullandığını söyledi. .sekiz eski saldırılarda uzantı.
BleepingComputer, hem .8base uzantısını ekleyen daha yeni saldırılarda hem de daha eski .eight uzantılı saldırılarda, Haziran 2022’ye kadar aynı “[email protected]” iletişim e-posta adresinin kullanıldığını tespit etti.
VMware analistlerinin bir diğer dikkat çekici bulgusu da 8Base’in “admlogs25[.]C2 karartma için kullanılan birkaç fidye yazılımı grubu tarafından kullanılan bir proxy kötü amaçlı yazılım olan SystemBC ile ilişkili olan yük barındırma için “.xyz” etki alanı.
Bu bulgular, 8Base operatörlerinin en az bir yıldır şifreleme saldırıları yürüttüğünü, ancak ancak son zamanlarda veri sızıntısı sitelerini başlattıktan sonra kendilerine bir isim yaptıklarını gösteriyor.
8Base, analistlerin dikkatini ancak şimdi çekmeye başlıyor, bu nedenle teknik doğasının birçok yönü bilinmiyor veya belirsizliğini koruyor.
VMware’in raporu, savunucuların sistemlerini bu artan tehdide karşı korumak için kullanabilecekleri uzlaşma göstergelerini (IoC’ler) içerir.