En un mundo digital cada vez más amenazado por los actores de amenazas de diferentes rubros y objetivos, el grupo de ransomware que responde al nombre de 8Base, ha logrado mantenerse en las sombras a pesar de su creciente actividad durante lo que llevamos de año. Este colectivo cibercriminal, experto en el arte la extorsión y las tácticas de «nombre y vergüenza«, ha demostrado ser un adversario de tener en consideración.
8Base ha demostrado en aprovechar su tácticas de ataques, seleccionando cuidadosamente a sus víctimas que abarcan un amplio espectro de industrias. Sin embargo, a pesar del volumen considerable de compromisos que han efectuado, la información sobre quiénes son, cómo operan y cuál es su verdadera motivación sigue siendo un enigma.
Las Top 10 empresas que han sido comprometidas por la banda de ransomware son, principalmente, los servicios empresariales, financieros, manufacturación, tecnológicas de la información, entre otros.
No obstante, en junio de este año, la actividad de la banda de ransomware 8Base experimentó un notable incremento. De lo que llevamos de 2023, han identificado a 107 víctimas publicadas en el blog alojado en la Dark Net. Este patrón refleja una tendencia similar observada en grupos como LockBit y Cl0p. Sin embargo, a diferencia de estos dos, que son organizaciones ya reconocidas en el ámbito de la ciberseguridad, 8Base sigue siendo un actor relativamente desconocido, lo cual acentúa aún más la preocupación por su creciente actividad delictiva.
El sitio web en la red Tor fue avistado por primera vez en mayo de 2023, y la pandilla afirma ser un grupo de pentesters «honestos y simples«. Según se lee en la página oficial del actor de amenaza, «Somos pentesters honestos y simples. Ofrecemos a las empresas las condiciones más leales para la devolución de sus datos«. Siendo una mera leyenda burlona y sarcástica de como son ellos. «Esta lista contiene solo aquellas empresas que han descuidado la privacidad y la importancia de los datos de sus empleados y clientes«.
En un nuevo informe lanzado por el equipo Carbon Black de VMware, las tácticas observadas en los ataques recientes de 8Base apuntan a que se trata de un cambio de marca de la banda de ransomware bien establecida, siendo la principal sospecha de RansomHouse.
El equipo de investigadores de VMware sospecha que 8Base es una rama de RansomHouse, basada en las notas de rescate idénticas utilizadas por los dos grupos, el lenguaje y el contenido es muy similares que se ven en los respectivos sitios de filtración, donde incluso las páginas de preguntas frecuentes parecen haber sido copiada y pegada.
Sin embargo, no hay suficiente evidencia para determinar si 8Base fue generado por miembros de RansomHouse, o simplemente por otra banda de ransomware que esta copiando, descaradamente, las plantillas de un grupo establecido, lo que no es raro de ver entre los actores de amenazas.
Tabla de MITRE ATT&CK – Cortesía de VMware:
| Táctica | Técnica | Descripción |
| TA0003 Persistencia | T1547.001 Claves de ejecución del registro/carpeta de inicio | Agrega lo siguiente: %AppData%\Local\{malware} %ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup\{malware} %AppData%\Roaming\Microsoft\Start Menu\Programs\Startup\{malware} |
| TA0007 Descubrimiento | T1135 Descubrimiento de recursos compartidos de red | Utiliza WNetEnumResource() para rastrear recursos de red |
| TA0004 Escalada de privilegios | T1134.001 Robo/suplantación de token | Utiliza DuplicateToken() para ajustar los privilegios del token |
| TA0005 Evasión de Defensa | T1562.001 Deshabilitar o modificar herramientas | Finaliza una larga lista de procesos, que son una combinación de aplicaciones de uso común (por ejemplo, aplicaciones de MS Office) y software de seguridad. |
| TA0005 Evasión de Defensa | T1027.002 Información o archivo ofuscado: paquete de software | SmokeLoader descomprime y carga Phobos en la memoria |
| TA0040 Impacto | T1490 Inhibir la recuperación del sistema | Se ejecuta: wmic shadowcopy delete wbadmin delete catalog -quiet vssadmin delete shadows /all /quiet bcdedit /set {predeterminado} recoveryenabled no bcdedit /set {predeterminado} bootstatuspolicy ignoreallfailures |
| TA0040 Impacto | T1486 Datos cifrados para impacto | Utiliza AES para cifrar archivos |
Indicadores de Compromiso – Cortesía de VMware:
| Indicator | Type | Context |
| 518544e56e8ccee401ffa1b0a01a10ce23e49ec21ec441c6c7c3951b01c1b19c | SHA-256 | 8Base Ransomware (Phobos variant) |
| 5BA74A5693F4810A8EB9B9EEB1D69D943CF5BBC46F319A32802C23C7654194B0 | SHA-256 | 8Base ransom note (RansomHouse variant) |
| 20110FF550A2290C5992A5BB6BB44056 | MD5 | 8Base ransom note (RansomHouse variant) |
| 3D2B088A397E9C7E9AD130E178F885FEEBD9688B | SHA-1 | 8Base ransom note (RansomHouse variant) |
| e142f4e8eb3fb4323fb377138f53db66e3e6ec9e82930f4b23dd91a5f7bd45d0 | SHA-256 | 8Base ransomware (Phobos variant) |
| 5d0f447f4ccc89d7d79c0565372195240cdfa25f | SHA-1 | 8Base ransomware (Phobos variant) |
| 9769c181ecef69544bbb2f974b8c0e10 | MD5 | 8Base ransomware (Phobos variant) |
| C6BD5B8E14551EB899BBE4DECB6942581D28B2A42B159146BBC28316E6E14A64 | SHA-256 | 8Base ransomware (Phobos variant) |
| 518544E56E8CCEE401FFA1B0A01A10CE23E49EC21EC441C6C7C3951B01C1B19C | SHA-256 | 8Base ransomware (Phobos variant) |
| AFDDEC37CDC1D196A1136E2252E925C0DCFE587963069D78775E0F174AE9CFE3 | SHA-256 | 8Base ransomware (Phobos variant) |
| wlaexfpxrs[.]org | Data POST to URL | 8Base ransomware referred domain (Phobos variant) |
| admhexlogs25[.]xyz | Data GET request to URL | 8Base ransomware referred domain |
| admlogs25[.]xyz | Data GET request to URL | 8Base ransomware referred domain |
| admlog2[.]xyz | Data GET request to URL | 8Base ransomware referred domain |
| dnm777[.]xyz | Data GET request to URL | 8Base ransomware referred domain |
| serverlogs37[.]xyz | Data POST to URL | 8Base ransomware referred domain |
| 9f1a.exe | File Name | 8Base ransomware dropped file |
| d6ff.exe | File Name | 8Base ransomware dropped file |
| 3c1e.exe | File Name | 8Base ransomware dropped file |
| dexblog[.]xyz | Data GET request to URL | 8Base ransomware referred domain |
| blogstat355[.]xyz | Data GET request to URL | 8Base ransomware referred domain |
| blogstatserv25[.]xyz | Data GET request to URL | 8Base ransomware referred domain |
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
