0
0
O Lockbit 3.0 é atualmente o grupo de ransomware mais ativo, diz o NCC Group em seu mais recente relatório Threat Pulse, mas novos grupos de ransomware como 8Base e Akira estão ganhando destaque.
Coletivamente, os vários grupos de ransomware revelaram 436 organizações de vítimas em maio de 2023 – 24% a mais do que em abril de 2023 (352) e 56% a mais do que em maio de 2022.
Esse aumento considerável pode ser atribuído, em parte, ao grupo de ransomware 8Base, que divulgou dados de 67 vítimas que violaram entre abril de 2022 e maio de 2023
Sobre o grupo de ransomware 8Base
De acordo com a Unidade de Análise de Ameaças (TAU) da VMware Carbon Black, o grupo está ativo desde março de 2022, mas sua atividade se tornou mais proeminente agora devido ao número significativo de despejos de dados divulgados em maio.
O grupo visa principalmente pequenas e médias empresas (PMEs) nos setores de serviços empresariais, finanças, manufatura e tecnologia da informação, e utiliza uma estratégia de dupla extorsão.
“O ransomware 8Base é distribuído por meio de uma variedade de métodos, incluindo e-mails de phishing, downloads drive-by e kits de exploração”, observou o ThreatMon em um relatório recente.
O mais interessante sobre o grupo, no entanto, é que seu estilo de comunicação é surpreendentemente familiar ao usado pela RansomHouse, outro grupo de extorsão cibernética cujas atividades foram vistas pela primeira vez em maio de 2022.
As semelhanças entre 8Base e RansomHouse
“Com base nas informações disponíveis atuais, certos aspectos das operações atuais da 8Base parecem assustadoramente semelhantes às operações de ransomware que vimos no passado”, observaram os analistas de ameaças da VMware.
A análise linguística revelou que as notas de resgate, páginas de boas-vindas de sites de vazamento, páginas de termos de serviço e páginas de perguntas frequentes dos dois grupos compartilham o mesmo idioma e estilo de escrita.
8Base (azul) em comparação com as notas de resgate do RansomHouse (vermelho) (Fonte: Unidade de Análise de Ameaças do VMware Carbon Black)
Eles também observaram duas grandes diferenças:
- A RansomHouse anuncia abertamente suas parcerias e recruta ativamente para novas, enquanto a 8Base não
- O design das páginas de vazamento difere entre os dois grupos
“A RansomHouse é conhecida por usar uma ampla variedade de ransomware que está disponível em mercados obscuros e não tem seu próprio ransomware de assinatura como base de comparação”, observou a equipe da VMware TAU.
O 8Base também usa vários ransomwares, e um deles é uma variante do ransomware Phobos.
“A comparação do Fobos e da amostra 8Base revelou que o 8Base estava usando o Phobos versão 2.9.1 carregado com o SmokeLoader. Com o ransomware Phobos estando disponível como um ransomware como serviço (RAAS), isso não é uma surpresa”, acrescentaram.
“Embora a 8Base tenha adicionado sua própria personalização de marca anexando ‘.8base’ a seus arquivos criptografados, o formato de toda a parte anexada era o mesmo do Fobos, que incluía uma seção de ID, um endereço de e-mail e, em seguida, a extensão do arquivo.”
“Há muita discussão sobre o que exatamente é o RansomHouse, já que eles tentam alegar que não usam ransomware, mas foi relatado publicamente que eles usam notas de resgate do MarioLocker e do White Rabbit Ransomware”, disse a VMware TAU à Help Net Security. “A RansomHouse ainda está ativa com vítimas adicionadas ao seu site de vazamento nos dias 14 e 15 de junho deste ano.”
Então, 8Base é um desdobramento de Fobos ou RansomHouse? Resta saber, dizem os analistas. “A velocidade e a eficiência das operações atuais da 8Base não indicam o início de um novo grupo, mas significam a continuação de uma organização madura e bem estabelecida.”
FONTE: HELPNET SECURITY