adlı bir fidye yazılımı tehdidi 8Baz Bir yılı aşkın bir süredir radar altında faaliyet gösteren, Mayıs ve Haziran 2023’teki “aktivitedeki büyük artışa” bağlandı.
The Hacker News ile paylaşılan bir raporda, VMware Carbon Black araştırmacıları Deborah Snyder ve Fae Carlisle, “Grup, kurbanlarını fidyelerini ödemeye zorlamak için ‘isim ve utanç’ teknikleriyle birlikte şifreleme kullanıyor” dedi. “8Base, çeşitli sektörlere yayılan son kurbanlarla fırsatçı bir uzlaşma modeline sahip.”
Malwarebytes ve NCC Group tarafından toplanan istatistiklere göre 8Base, Mayıs 2023 itibarıyla 67 saldırıyla ilişkilendirildi ve kurbanların yaklaşık %50’si ticari hizmetler, imalat ve inşaat sektörlerinde faaliyet gösteriyor. Hedeflenen şirketlerin çoğu ABD ve Brezilya’da bulunuyor.
Fidye yazılımının operatörleri hakkında çok az şey bilinmesine rağmen, kökenleri hala bir şifre gibi. Açık olan, en azından Mart 2022’den beri aktif olduğu ve aktörlerin kendilerini “basit sızma testçileri” olarak tanımladıkları.
VMware, 8Base’in, güvenliği ihlal edilmiş makinelere bırakılan fidye notlarındaki çakışmaları ve ilgili veri sızıntısı portallarında kullanılan dili gerekçe göstererek, RansomHouse olarak izlenen başka bir veri gaspı grubuna “çarpıcı bir şekilde” benzediğini söyledi.
Araştırmacılar, “Açık sözlü sözler, RansomHouse’un karşılama sayfasından 8Base’in karşılama sayfasına kelimesi kelimesine kopyalandı” dedi. “Bu, Hizmet Şartları sayfaları ve SSS sayfaları için geçerlidir.”
İki tehdit grubunun karşılaştırılması, RansomHouse’un ortaklıklarının reklamını açıkça yaparken 8Base’in yapmadığını ortaya koyuyor. Diğer bir önemli farklılaştırıcı, sızıntı sayfalarıdır.
Ancak VMware, ilginç bir değişiklikle, şifrelenmiş dosyalar için “.8base” dosya uzantısını kullanan bir Phobos fidye yazılımını tespit edebildiğini ve 8Base’in Phobos’un halefi olma veya saldırganların sadece onu kullanma olasılığını artırdığını belirtti. Halihazırda var olan fidye yazılımı, kendi özel dolaplarını geliştirmek zorunda kalmadan zorlanır.
Araştırmacılar, “8Base’in mevcut operasyonlarının hızı ve verimliliği, yeni bir grubun başladığını değil, köklü ve olgun bir organizasyonun devam ettiğini gösteriyor” dedi. “8Base’in Phobos’un bir yan ürünü mü yoksa RansomHouse mu olduğu henüz belli değil.”
8Base, CryptNet, Xollam ve Mallox gibi piyasaya yeni giren fidye yazılımı dalgasının bir parçasıdır; BlackCat, LockBit ve Trigona gibi bilinen aileler, ufuklarını Windows’un ötesine genişletmek için özelliklerinde ve saldırı zincirlerinde sürekli güncellemelere tanık olmuş olsalar bile. Linux ve macOS sistemleri.
Cyble tarafından vurgulanan bir örnek, Mallox’u konuşlandırmak için BATLOADER’ın kullanılmasını gerektirir; bu da, tehdit aktörlerinin “kaçınmayı artırmak ve kötü niyetli faaliyetlerini sürdürmek” için taktiklerini aktif olarak iyileştirdiklerini öne sürer.
Kaspersky geçen hafta yaptığı bir analizde, “Gruplar diğer grupların kodlarını benimsiyor ve kendi başlarına siber suç grupları olarak kabul edilebilecek bağlı kuruluşlar farklı kötü amaçlı yazılım türleri arasında geçiş yapıyor” dedi. “Gruplar, kötü amaçlı yazılımlarının yükseltmeleri üzerinde çalışıyor, özellikler ekliyor ve daha önce desteklenmeyen birden çok platform için destek sağlıyor, bu bir süredir var olan bir trend.”