Haziran 2023’te 8base fidye yazılımı etkinliğindeki ani artış, güvenlik profesyonellerini ve endüstrileri alarma geçiren saldırıları gerçekleştirmek için köklü bir kuruluş olduğunu gösteriyor.
Grup, kurbanlarını fidyelerini Bitcoin olarak ödemeye zorlamak için “isim ve utanç” teknikleriyle birlikte şifreleme kullanıyor.
.png
)
Küçük işletme hizmetlerini, imalat ve inşaat sektörlerini hedeflerler ve şifrelenmiş dosyalara “.8base” uzantısını eklerler.
Bu grup tarafından kullanılan fidye yazılımının türü bilinmiyor ancak kullanılan teknik ve fidye notu diğer fidye gruplarına benziyor.
Güçlü 8Base Fidye Yazılımı
Kendilerini “dürüst ve basit pentester” olarak tırmanan 8base ransomware grubu, Mart 2022’den beri faaliyet gösteriyor.
Kurbanlar, kurbanlara ve indirmelerine ayrılmış bir sayfayı ziyaret ederek saldırıyla ilgili bilgileri ortaya çıkarabilir.
Müzakereler için bir dizi kuralın yanı sıra 8Base ile iletişim kurmak için çeşitli yöntemler içerir.
8Base fidye yazılımı grubu, Lockbit’in hemen ardından en iyi performans gösteren iki fidye yazılımı grubundan biri oldu.
VMware Carbon Black’in TAU ve MDR-POC ekipleri tarafından yapılan analiz, RansomHouse ve Phobos’a benzer bazı istatistiklerini ortaya çıkardı.
8Base ve Ransomhouse Arasındaki Benzerlikler
Doc2Vec aracılığıyla analiz edildiğinde, her iki grubun da benzer fidye notları kullandığını gördüler.
Doc2Vec, belgeleri vektörlere dönüştüren ve belgelerdeki benzerlikleri belirlemek için kullanılabilen denetimsiz bir makine öğrenimi algoritmasıdır.
İkincisi, her iki grubun da sızıntı sitelerinde kullanılan dil neredeyse aynı.
Ek olarak, laf kalabalığı RansomHouse’un karşılama sayfasından kelimesi kelimesine 8 Base’in karşılama sayfasına kopyalanmıştır.
Ayrıca, Hizmet Şartları sayfaları ve SSS sayfaları da benzerdir.
Bu iki grup arasındaki en büyük fark, RansomHouse’un ortaklıklarının reklamını yapması ve açıkça ortaklıklar için işe alması, oysa 8Base’in olmamasıdır.
İki tehdit aktörü grubu arasındaki ikinci büyük fark, sızıntı sayfalarıdır.
RansomHouse, karanlık pazarlarda bulunan çok çeşitli fidye yazılımları kullanması ile tanınır ve karşılaştırma için temel olarak kendi imza fidye yazılımına sahip değildir.
8Base ve Phobos Ransomware arasındaki benzerlikler
Phobos’u 8base fidye yazılımı ile karşılaştırırken, her ikisi de şifrelenmiş dosyaları “.8base” uzantısıyla ekler.
Phobos ve 8Base örneği arasındaki bir başka benzerlik, 8Base’in fidye yazılımının girişinde, paketinden çıkarılmasında ve yüklenmesinde ilk karartma için SmokeLoader ile birlikte Phobos fidye yazılımı 2.9.1 sürümünü kullandığını ortaya çıkardı.
Fidye notları benzer olsa da, temel farklılıklar arasında Jabber talimatları ve Phobos fidye yazılımının üst ve alt köşelerindeki “fobolar” yer alıyordu.
8Base’in üst köşesinde “kıkırdak”, mor bir arka plan var ve Jabber talimatı yok.
8base’in tüm eklenen kısmının formatı, bir kimlik bölümü, bir e-posta adresi ve ardından dosya uzantısı içeren Phobos ile aynıydı.
Ek analiz, 8Base örneğinin admlogs25 alanından indirildiğini gösteriyor[.]xyz – bir proxy ve uzaktan yönetim aracı olan SystemBC ile ilişkili gibi görünüyor.
SystemBC, diğer fidye yazılımı grupları tarafından saldırganların Komuta ve Kontrol trafiğinin hedefini şifrelemenin ve gizlemenin bir yolu olarak kullanılmıştır.
Analizden, 8 tabanlı fidye grubunun kendi grubunu oluşturmak için diğer fidye grubu kodlarını ve TTP’nin standartlarını benimsediği açıktır, ancak bunun Phobos’tan mı yoksa RansomHouse’dan mı kaynaklandığı belirsizliğini koruyor.
“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.