NCC Group, en son Threat Pulse raporunda Lockbit 3.0’ın şu anda en aktif fidye yazılımı grubu olduğunu söylüyor, ancak 8Base ve Akira gibi yeni fidye yazılımı gruplarının önemi artıyor.
Toplu olarak, çeşitli fidye yazılımı grupları Mayıs 2023’te 436 kurban kuruluş ortaya çıkardı – Nisan 2023’e göre %24 (352) ve Mayıs 2022’ye göre %56 daha fazla.
Bu önemli artış, kısmen, Nisan 2022 ile Mayıs 2023 arasında ihlal ettikleri 67 kurbanın verilerini yayınlayan 8Base fidye yazılımı grubuna atfedilebilir.
8Base fidye yazılımı grubu hakkında
VMware Carbon Black’in Tehdit Analiz Birimi’ne (TAU) göre, grup Mart 2022’den beri faaliyet gösteriyor ancak etkinliği, Mayıs ayında yayınlanan önemli sayıda veri dökümü nedeniyle şimdi daha belirgin hale geldi.
Grup temel olarak ticari hizmetler, finans, üretim ve bilgi teknolojisi sektörlerindeki küçük ve orta ölçekli işletmeleri (KOBİ’ler) hedefliyor ve çifte gasp stratejisi kullanıyor.
ThreatMon yakın tarihli bir raporda “8Base fidye yazılımı, kimlik avı e-postaları, arabayla indirmeler ve istismar kitleri dahil olmak üzere çeşitli yöntemlerle dağıtılıyor” dedi.
Grupla ilgili en ilginç şey ise, iletişim tarzının, faaliyetleri ilk kez Mayıs 2022’de tespit edilen başka bir siber şantaj grubu olan RansomHouse tarafından kullanılana çarpıcı biçimde aşina olmasıdır.
8Base ve RansomHouse arasındaki benzerlikler
VMware’in tehdit analistleri, “Mevcut mevcut bilgilere dayanarak, 8Base’in mevcut operasyonlarının belirli yönleri, geçmişte gördüğümüz fidye yazılımı operasyonlarına ürkütücü bir şekilde benziyor” dedi.
Dil analizi, iki grubun fidye notlarının, sızıntı sitelerinin karşılama sayfalarının, hizmet şartları sayfalarının ve SSS sayfalarının aynı dili ve yazı stilini paylaştığını ortaya çıkardı.
8Base (mavi) ile RansomHouse (kırmızı) fidye notlarının karşılaştırması (Kaynak: VMware Carbon Black’in Tehdit Analizi Birimi)
Ayrıca iki büyük fark gözlemlediler:
- RansomHouse, ortaklıklarının reklamını açıkça yapar ve aktif olarak yenilerini işe alır, oysa 8Base bunu yapmaz.
- Sızıntı sayfalarının tasarımı iki grup arasında farklılık gösterir
VMware TAU ekibi, “RansomHouse, karanlık pazarlarda bulunan çok çeşitli fidye yazılımlarını kullanması ile tanınır ve karşılaştırma için kendi imzalı fidye yazılımları yoktur” dedi.
8Base benzer şekilde çeşitli fidye yazılımları kullanır ve bunlardan biri Phobos fidye yazılımının bir çeşididir.
“Phobos ve 8Base örneğinin karşılaştırılması, 8Base’in SmokeLoader yüklü Phobos 2.9.1 sürümünü kullandığını ortaya çıkardı. Phobos fidye yazılımının bir hizmet olarak fidye yazılımı (RAAS) olarak sunulmasıyla, bu şaşırtıcı değil” diye eklediler.
“8Base, şifrelenmiş dosyalarına ‘.8base’ ekleyerek kendi marka özelleştirmelerini eklese de, eklenen bölümün formatı, bir kimlik bölümü, bir e-posta adresi ve ardından dosya uzantısı içeren Phobos ile aynıydı.”
VMware TAU, Help Net Security’ye “Fidye yazılımı kullanmadıklarını iddia etmeye çalıştıkları için RansomHouse’un tam olarak ne olduğu hakkında çok fazla tartışma var, ancak MarioLocker ve White Rabbit Ransomware fidye notlarını kullandıkları kamuoyuna bildirildi” dedi. “RansomHouse, bu yıl 14 ve 15 Haziran gibi yakın bir tarihte sızıntı sitelerine eklenen kurbanlarla hala aktif.”
Peki 8Base, Phobos veya RansomHouse’un bir yan ürünü mü? Analistler, görülmesi gerektiğini söylüyor. “8Base’in mevcut operasyonlarının hızı ve verimliliği, yeni bir grubun başladığını değil, köklü ve olgun bir organizasyonun devam ettiğini gösteriyor.”