8base
Grâce à son utilisation habile de tactiques de double extorsion et à un répertoire comprenant des variantes modifiées de ransomwares connus tels que Phobos, 8Base a orchestré des cyberincidents importants, affectant de nombreuses organisations dans le monde entier grâce à ses stratégies implacables et évolutives.
Les origines de 8Base
Apparu en mars 2022, le groupe de ransomwares 8Base est resté relativement discret après ses premières attaques. Cependant, entre la mi-mai et juin 2023, il a connu un regain d'activité significatif, ciblant des organisations de divers secteurs et recensant 131 victimes en l'espace de trois mois seulement. 8Base se distingue par l'utilisation de tactiques de double extorsion, une méthode qui a gagné en popularité parmi les cybercriminels pour son efficacité à exercer une pression sur les victimes. En mars 2023, ils ont lancé leur site de fuites de données, promouvant une image d'honnêteté et de simplicité dans leurs communications.
L'origine et le spectre complet des activités, des méthodologies et des motivations du groupe restent largement mystérieux. Il est intéressant de noter que 8Base n'a pas développé son propre ransomware. Les chercheurs ont plutôt constaté que le groupe utilisait des créateurs de ransomwares divulgués - comme la variante de ransomware Phobos, qu'ils ont modifiée pour ajouter ".8base" aux fichiers cryptés - pour personnaliser les notes de rançon et présenter les attaques comme étant leur propre opération. VMware a publié un rapport établissant des similitudes entre 8Base et le groupe de ransomwares RansomHouse, en soulignant les ressemblances entre leurs sites web et leurs notes de rançon. Certains cercles de cybersécurité pensent que l'infrastructure de 8Base a été développée à l'aide de l'outil Babuk - un ensemble d'outils provenant d'une autre opération de ransomware notoire - tandis que d'autres pensent qu'il s'agit d'une émanation de RansomHouse.
Cibles
Les cibles de 8Base
Pays ciblés par 8Base
8base a principalement ciblé des entreprises basées aux États-Unis, au Brésil et au Royaume-Uni.
Source : Ransomware.live
Secteurs d'activités ciblés par 8Base
8Base concentre ses attaques principalement sur les petites et moyennes entreprises (PME) couvrant un large éventail de secteurs.
Le groupe manifeste un intérêt particulier pour des secteurs tels que les services aux entreprises, la finance, l'industrie manufacturière et les technologies de l'information.
Ce ciblage spécifique pourrait découler de la conviction que les entreprises de ces secteurs sont plus susceptibles de payer des rançons importantes, ou peut-être parce que les données qu'elles détiennent sont jugées plus sensibles ou plus précieuses.
Source : SOCRadar SOCRadar
Secteurs d'activités ciblés par 8Base
8Base concentre ses attaques principalement sur les petites et moyennes entreprises (PME) couvrant un large éventail de secteurs.
Le groupe manifeste un intérêt particulier pour des secteurs tels que les services aux entreprises, la finance, l'industrie manufacturière et les technologies de l'information.
Ce ciblage spécifique pourrait découler de la conviction que les entreprises de ces secteurs sont plus susceptibles de payer des rançons importantes, ou peut-être parce que les données qu'elles détiennent sont jugées plus sensibles ou plus précieuses.
Source : SOCRadar SOCRadar
Les victimes de 8Base
À ce jour, plus de 356 entreprises ont été victimes des attaques de 8Base.
Source : Ransomware.live
Méthode d'attaque
Méthode d'attaque de 8Base
Les pirates de 8Base lancent souvent leurs attaques en déployant des campagnesphishing pour dissimuler des charges utiles ou en utilisant des outils comme Angry IP Scanner pour identifier et exploiter les ports vulnérables du protocole de bureau à distance (RDP).
Ils utilisent des attaques par force brute pour accéder aux services RDP exposés, puis effectuent des recherches pour établir le profil de leurs victimes et établir des connexions avec les adresses IP ciblées.
8Base renforce son contrôle sur les systèmes compromis en exécutant des opérations d'usurpation d'identité et de vol de jetons.
Cette technique consiste à manipuler les jetons du système à l'aide de la fonction DuplicateToken(), ce qui permet aux attaquants d'élever discrètement leurs privilèges.
Cette étape critique garantit qu'ils peuvent accéder à des zones plus sensibles du système sans être immédiatement détectés.
Pour rester discret et éviter d'être détecté par les systèmes de sécurité, 8Base utilise quelques stratégies clés.
Ils mettent fin à toute une série de processus, ciblant à la fois les applications couramment utilisées, comme MS Office, et les logiciels de sécurité, afin de créer un environnement plus vulnérable pour leurs activités malveillantes.
En outre, ils utilisent l'empaquetage logiciel pour obscurcir les fichiers malveillants, notamment en empaquetant le ransomware Phobos dans la mémoire, ce qui rend plus difficile l'identification et le blocage du site malware par les outils de sécurité.
Dans la phase de découverte, 8Base procède à la découverte des partages de réseau à l'aide de la fonction WNetEnumResource( ) pour parcourir méthodiquement les ressources du réseau.
Cela leur permet d'identifier des cibles intéressantes et de comprendre la structure du réseau, ce qui facilite les déplacements latéraux et la collecte de données.
La phase d'impact est celle où les actions de 8Base aboutissent à des perturbations significatives pour la victime.
Ils exécutent des commandes qui empêchent la récupération du système, notamment en supprimant les copies d'ombre et les catalogues de sauvegarde et en modifiant les configurations de démarrage afin d'empêcher la réparation du système.
Ces actions, combinées à l'utilisation du cryptage AES pour verrouiller les fichiers, rendent non seulement la récupération des données difficile, mais augmentent également la pression exercée sur les victimes pour qu'elles se conforment aux demandes de rançon.
Cette phase démontre la capacité de 8Base à ne pas se contenter de pénétrer et de naviguer dans les systèmes, mais à laisser un impact durable sur les organisations touchées.
Accès Initial
Les pirates de 8Base lancent souvent leurs attaques en déployant des campagnesphishing pour dissimuler des charges utiles ou en utilisant des outils comme Angry IP Scanner pour identifier et exploiter les ports vulnérables du protocole de bureau à distance (RDP).
Ils utilisent des attaques par force brute pour accéder aux services RDP exposés, puis effectuent des recherches pour établir le profil de leurs victimes et établir des connexions avec les adresses IP ciblées.
Élévation de privilèges
8Base renforce son contrôle sur les systèmes compromis en exécutant des opérations d'usurpation d'identité et de vol de jetons.
Cette technique consiste à manipuler les jetons du système à l'aide de la fonction DuplicateToken(), ce qui permet aux attaquants d'élever discrètement leurs privilèges.
Cette étape critique garantit qu'ils peuvent accéder à des zones plus sensibles du système sans être immédiatement détectés.
Défense Evasion
Pour rester discret et éviter d'être détecté par les systèmes de sécurité, 8Base utilise quelques stratégies clés.
Ils mettent fin à toute une série de processus, ciblant à la fois les applications couramment utilisées, comme MS Office, et les logiciels de sécurité, afin de créer un environnement plus vulnérable pour leurs activités malveillantes.
En outre, ils utilisent l'empaquetage logiciel pour obscurcir les fichiers malveillants, notamment en empaquetant le ransomware Phobos dans la mémoire, ce qui rend plus difficile l'identification et le blocage du site malware par les outils de sécurité.
Accès aux identifiants
Découverte
Dans la phase de découverte, 8Base procède à la découverte des partages de réseau à l'aide de la fonction WNetEnumResource( ) pour parcourir méthodiquement les ressources du réseau.
Cela leur permet d'identifier des cibles intéressantes et de comprendre la structure du réseau, ce qui facilite les déplacements latéraux et la collecte de données.
Mouvement latéral
Collection
Exécution
Exfiltration
Impact
La phase d'impact est celle où les actions de 8Base aboutissent à des perturbations significatives pour la victime.
Ils exécutent des commandes qui empêchent la récupération du système, notamment en supprimant les copies d'ombre et les catalogues de sauvegarde et en modifiant les configurations de démarrage afin d'empêcher la réparation du système.
Ces actions, combinées à l'utilisation du cryptage AES pour verrouiller les fichiers, rendent non seulement la récupération des données difficile, mais augmentent également la pression exercée sur les victimes pour qu'elles se conforment aux demandes de rançon.
Cette phase démontre la capacité de 8Base à ne pas se contenter de pénétrer et de naviguer dans les systèmes, mais à laisser un impact durable sur les organisations touchées.
MITRE ATT&CK Mapping
TTPs utilisés par 8Base
TA0001: Initial Access
T1566
Phishing
T1133
External Remote Services
TA0002: Execution
T1129
Shared Modules
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1497
Virtualization/Sandbox Evasion
T1222
File and Directory Permissions Modification
T1202
Indirect Command Execution
T1112
Modify Registry
T1036
Masquerading
T1070
Indicator Removal
T1564
Hide Artifacts
T1562
Impair Defenses
TA0006: Credential Access
T1056
Input Capture
T1003
OS Credential Dumping
TA0007: Discovery
T1497
Virtualization/Sandbox Evasion
T1518
Software Discovery
T1083
File and Directory Discovery
T1082
System Information Discovery
T1057
Process Discovery
TA0008: Lateral Movement
T1080
Taint Shared Content
TA0009: Collection
T1560
Archive Collected Data
T1074
Data Staged
T1005
Data from Local System
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1490
Inhibit System Recovery
T1485
Data Destruction
Détections de la plate-forme
Comment détecter 8Base avec Vectra AI
Liste des détections disponibles dans la plateforme Vectra AI qui indiqueraient une attaque de ransomware.
Foire aux questions
Qu'est-ce que 8Base et comment fonctionne-t-il ?
8Base est un groupe de ransomware connu pour ses tactiques d'extorsion agressives, ciblant principalement les petites et moyennes entreprises de divers secteurs.
Il utilise une chaîne d'attaque sophistiquée qui comprend l'escalade des privilèges, l'évasion des défenses et le cryptage des données pour extorquer des rançons à ses victimes.
Comment 8Base obtient-elle un accès initial aux réseaux ?
8Base obtient généralement un accès initial par le biais de courriels phishing ou de kits d'exploitation, et utilise ces vecteurs pour déployer son ransomware ou s'implanter dans les systèmes ciblés.
Quels sont les secteurs les plus menacés par les attaques 8Base ?
8Base a montré une préférence pour les attaques contre les entreprises des secteurs des services aux entreprises, de la finance, de l'industrie et des technologies de l'information, probablement en raison de la nature sensible de leurs données et de leur capacité perçue à payer des rançons plus importantes.
Quelles sont les techniques utilisées par 8Base pour l'escalade des privilèges ?
8Base utilise l'usurpation d'identité et le vol de jetons pour l'escalade des privilèges, en manipulant les jetons du système pour obtenir des niveaux d'accès plus élevés dans les systèmes compromis.
Comment 8Base échappe-t-il aux mécanismes de détection et de défense ?
8Base utilise des techniques telles que l'interruption des processus liés à la sécurité et l'obscurcissement des fichiers malveillants par le biais d'un emballage logiciel afin d'échapper à la détection par les outils de sécurité traditionnels.
Comment les organisations peuvent-elles détecter les intrusions 8Base et y répondre ?
Les organisations peuvent améliorer leurs capacités de détection et de réponse en mettant en œuvre une plateforme de détection des menaces pilotée par l'IA qui fournit une analyse et une détection en temps réel des activités de ransomware caractéristiques de groupes tels que 8Base.
Quel est l'impact de 8Base sur les organisations compromises ?
L'impact de 8Base comprend le cryptage de fichiers sensibles, l'inhibition des efforts de récupération du système et l'exfiltration potentielle de données, ce qui entraîne des perturbations opérationnelles, des pertes financières et des atteintes à la réputation.
Quelles sont les mesures préventives efficaces contre les attaques du ransomware 8Base ?
Les mesures efficaces comprennent des sauvegardes régulières des données, la formation des employés à phishing , la correction des vulnérabilités en temps voulu et le déploiement de solutions de sécurité avancées capables de détecter et d'atténuer les activités des ransomwares.
8Base peut-il être lié à d'autres groupes ou activités de ransomware ?
On suppose que 8Base pourrait avoir des liens avec d'autres groupes de ransomware comme RansomHouse, ou en être issu, en raison des similitudes entre leurs tactiques opérationnelles et leurs styles de communication verbale.
Quels outils ou stratégies les professionnels de la cybersécurité peuvent-ils utiliser pour enquêter sur les incidents 8Base ?
Les professionnels de la cybersécurité peuvent s'appuyer sur des outils d'analyse forensique, des plateformes de renseignement sur les menaces et des solutions de sécurité pilotées par l'IA pour enquêter sur les incidents, découvrir les vecteurs d'attaque et identifier les indicateurs de compromission (IOC) liés aux activités de 8Base.