Blog

La Banda de Ransomware 8Base aumenta su lista de víctimas comprometidas en Junio

En un mundo digital cada vez más amenazado por los actores de amenazas de diferentes rubros y objetivos, el grupo de ransomware que responde al nombre de 8Base, ha logrado mantenerse en las sombras a pesar de su creciente actividad durante lo que llevamos de año. Este colectivo cibercriminal, experto en el arte la extorsión y las tácticas de «nombre y vergüenza«, ha demostrado ser un adversario de tener en consideración.

8Base ha demostrado en aprovechar su tácticas de ataques, seleccionando cuidadosamente a sus víctimas que abarcan un amplio espectro de industrias. Sin embargo, a pesar del volumen considerable de compromisos que han efectuado, la información sobre quiénes son, cómo operan y cuál es su verdadera motivación sigue siendo un enigma.

Las Top 10 empresas que han sido comprometidas por la banda de ransomware son, principalmente, los servicios empresariales, financieros, manufacturación, tecnológicas de la información, entre otros.

Imagen: VMware

No obstante, en junio de este año, la actividad de la banda de ransomware 8Base experimentó un notable incremento. De lo que llevamos de 2023, han identificado a 107 víctimas publicadas en el blog alojado en la Dark Net. Este patrón refleja una tendencia similar observada en grupos como LockBit y Cl0p. Sin embargo, a diferencia de estos dos, que son organizaciones ya reconocidas en el ámbito de la ciberseguridad, 8Base sigue siendo un actor relativamente desconocido, lo cual acentúa aún más la preocupación por su creciente actividad delictiva.

Imagen: VMware

El sitio web en la red Tor fue avistado por primera vez en mayo de 2023, y la pandilla afirma ser un grupo de pentesters «honestos y simples«. Según se lee en la página oficial del actor de amenaza, «Somos pentesters honestos y simples. Ofrecemos a las empresas las condiciones más leales para la devolución de sus datos«. Siendo una mera leyenda burlona y sarcástica de como son ellos. «Esta lista contiene solo aquellas empresas que han descuidado la privacidad y la importancia de los datos de sus empleados y clientes«.

Imagen: CronUp Ciberseguridad

En un nuevo informe lanzado por el equipo Carbon Black de VMware, las tácticas observadas en los ataques recientes de 8Base apuntan a que se trata de un cambio de marca de la banda de ransomware bien establecida, siendo la principal sospecha de RansomHouse.

El equipo de investigadores de VMware sospecha que 8Base es una rama de RansomHouse, basada en las notas de rescate idénticas utilizadas por los dos grupos, el lenguaje y el contenido es muy similares que se ven en los respectivos sitios de filtración, donde incluso las páginas de preguntas frecuentes parecen haber sido copiada y pegada.

Imagen: VMware
Imagen: VMware

Sin embargo, no hay suficiente evidencia para determinar si 8Base fue generado por miembros de RansomHouse, o simplemente por otra banda de ransomware que esta copiando, descaradamente, las plantillas de un grupo establecido, lo que no es raro de ver entre los actores de amenazas.

Tabla de MITRE ATT&CK – Cortesía de VMware:

TácticaTécnicaDescripción
TA0003 PersistenciaT1547.001
Claves de ejecución del registro/carpeta de inicio
Agrega lo siguiente: 
%AppData%\Local\{malware}  %ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup\{malware}  %AppData%\Roaming\Microsoft\Start Menu\Programs\Startup\{malware}
TA0007 DescubrimientoT1135 Descubrimiento de recursos compartidos de redUtiliza WNetEnumResource() para rastrear recursos de red
TA0004 Escalada de privilegiosT1134.001 Robo/suplantación de tokenUtiliza DuplicateToken() para ajustar los privilegios del token
TA0005 Evasión de DefensaT1562.001 Deshabilitar o modificar herramientasFinaliza una larga lista de procesos, que son una combinación de aplicaciones de uso común (por ejemplo, aplicaciones de MS Office) y software de seguridad.
TA0005 Evasión de DefensaT1027.002 Información o archivo ofuscado: paquete de softwareSmokeLoader descomprime y carga Phobos en la memoria
TA0040 ImpactoT1490 Inhibir la recuperación del sistemaSe ejecuta:
wmic shadowcopy delete
wbadmin delete catalog -quiet
vssadmin delete shadows /all /quiet
bcdedit /set {predeterminado} recoveryenabled no
bcdedit /set {predeterminado} bootstatuspolicy ignoreallfailures
TA0040 ImpactoT1486 Datos cifrados para impactoUtiliza AES para cifrar archivos

Indicadores de Compromiso – Cortesía de VMware:

IndicatorTypeContext
518544e56e8ccee401ffa1b0a01a10ce23e49ec21ec441c6c7c3951b01c1b19cSHA-2568Base Ransomware (Phobos variant)
5BA74A5693F4810A8EB9B9EEB1D69D943CF5BBC46F319A32802C23C7654194B0SHA-2568Base ransom note (RansomHouse variant)
20110FF550A2290C5992A5BB6BB44056MD58Base ransom note (RansomHouse variant)
3D2B088A397E9C7E9AD130E178F885FEEBD9688BSHA-18Base ransom note (RansomHouse variant)
e142f4e8eb3fb4323fb377138f53db66e3e6ec9e82930f4b23dd91a5f7bd45d0SHA-2568Base ransomware (Phobos variant)
5d0f447f4ccc89d7d79c0565372195240cdfa25fSHA-18Base ransomware (Phobos variant)
9769c181ecef69544bbb2f974b8c0e10MD58Base ransomware (Phobos variant)
C6BD5B8E14551EB899BBE4DECB6942581D28B2A42B159146BBC28316E6E14A64SHA-2568Base ransomware (Phobos variant)
518544E56E8CCEE401FFA1B0A01A10CE23E49EC21EC441C6C7C3951B01C1B19CSHA-2568Base ransomware (Phobos variant)
AFDDEC37CDC1D196A1136E2252E925C0DCFE587963069D78775E0F174AE9CFE3SHA-2568Base ransomware (Phobos variant)
wlaexfpxrs[.]orgData POST to URL8Base ransomware referred domain (Phobos variant)
admhexlogs25[.]xyzData GET request to URL8Base ransomware referred domain
admlogs25[.]xyzData GET request to URL8Base ransomware referred domain
admlog2[.]xyzData GET request to URL8Base ransomware referred domain
dnm777[.]xyzData GET request to URL8Base ransomware referred domain
serverlogs37[.]xyzData POST to URL8Base ransomware referred domain
9f1a.exeFile Name8Base ransomware dropped file
d6ff.exeFile Name8Base ransomware dropped file
3c1e.exeFile Name8Base ransomware dropped file
dexblog[.]xyzData GET request to URL8Base ransomware referred domain
blogstat355[.]xyzData GET request to URL8Base ransomware referred domain
blogstatserv25[.]xyzData GET request to URL8Base ransomware referred domain

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info

Últimos Artículos

No dejes tu seguridad para después.

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required