Votre organisation est-elle à l'abri des attaques du ransomware 8Base ?

Les origines de 8Base

Apparu en avril 2022, 8Base se distingue par l'utilisation de tactiques de double extorsion, une méthode qui a gagné en popularité parmi les cybercriminels pour son efficacité à exercer une pression sur les victimes.

L'origine et le spectre complet des activités, des méthodologies et des motivations du groupe restent encore assez obscures.

Les chercheurs ont découvert que le groupe utilisait un variant du ransomware Phobos qu'il a modifié pour ajouter ".8base" aux fichiers cryptés. Certains milieux de la cybersécurité pensent que l'infrastructure de 8Base a été développée à l'aide du Babuk Builder, un autre ransomware dont le code source a été mis à disposition au public lors de l'arrestation du groupe.

D'autres sources pensent qu'il s'agit d'une émanation de RansomHouse.

^{Source : SOCRadar}^SOCRadar^,^VMware

Cibles

Les cibles de 8Base

Pays ciblés par 8Base

8base a principalement ciblé des entreprises basées aux États-Unis, au Brésil et au Royaume-Uni.

^{Source : SOCRadar}^SOCRadar

Secteurs d'activités ciblés par 8Base

8Base concentre ses attaques principalement sur les petites et moyennes entreprises (PME) couvrant un large éventail de secteurs.

Le groupe manifeste un intérêt particulier pour des secteurs tels que les services aux entreprises, la finance, l'industrie manufacturière et les technologies de l'information.

Ce ciblage spécifique pourrait découler de la conviction que les entreprises de ces secteurs sont plus susceptibles de payer des rançons importantes, ou peut-être parce que les données qu'elles détiennent sont jugées plus sensibles ou plus précieuses.

^{Source : SOCRadar}^SOCRadar

Secteurs d'activités ciblés par 8Base

8Base concentre ses attaques principalement sur les petites et moyennes entreprises (PME) couvrant un large éventail de secteurs.

Le groupe manifeste un intérêt particulier pour des secteurs tels que les services aux entreprises, la finance, l'industrie manufacturière et les technologies de l'information.

Ce ciblage spécifique pourrait découler de la conviction que les entreprises de ces secteurs sont plus susceptibles de payer des rançons importantes, ou peut-être parce que les données qu'elles détiennent sont jugées plus sensibles ou plus précieuses.

^{Source : SOCRadar}^SOCRadar

Les victimes de 8Base

À ce jour, plus de 356 entreprises ont été victimes des attaques de 8Base.

^{Source :}^{Ransomware.live}

Méthode d'attaque

Méthode d'attaque de 8Base

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.

Les pirates de 8Base lancent souvent leurs attaques en déployant des campagnesphishing pour dissimuler des charges utiles ou en utilisant des outils comme Angry IP Scanner pour identifier et exploiter les ports vulnérables du protocole de bureau à distance (RDP).

Ils utilisent des attaques par force brute pour accéder aux services RDP exposés, puis effectuent des recherches pour établir le profil de leurs victimes et établir des connexions avec les adresses IP ciblées.

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.

8Base renforce son contrôle sur les systèmes compromis en exécutant des opérations d'usurpation d'identité et de vol de jetons.

Cette technique consiste à manipuler les jetons du système à l'aide de la fonction DuplicateToken(), ce qui permet aux attaquants d'élever discrètement leurs privilèges.

Cette étape critique garantit qu'ils peuvent accéder à des zones plus sensibles du système sans être immédiatement détectés.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.

Pour rester discret et éviter d'être détecté par les systèmes de sécurité, 8Base utilise quelques stratégies clés.

Ils mettent fin à toute une série de processus, ciblant à la fois les applications couramment utilisées, comme MS Office, et les logiciels de sécurité, afin de créer un environnement plus vulnérable pour leurs activités malveillantes.

En outre, ils utilisent l'empaquetage logiciel pour obscurcir les fichiers malveillants, notamment en empaquetant le ransomware Phobos dans la mémoire, ce qui rend plus difficile l'identification et le blocage du site malware par les outils de sécurité.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.

Dans la phase de découverte, 8Base procède à la découverte des partages de réseau à l'aide de la fonction WNetEnumResource( ) pour parcourir méthodiquement les ressources du réseau.

Cela leur permet d'identifier des cibles intéressantes et de comprendre la structure du réseau, ce qui facilite les déplacements latéraux et la collecte de données.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.

La phase d'impact est celle où les actions de 8Base aboutissent à des perturbations significatives pour la victime.

Ils exécutent des commandes qui empêchent la récupération du système, notamment en supprimant les copies d'ombre et les catalogues de sauvegarde et en modifiant les configurations de démarrage afin d'empêcher la réparation du système.

Ces actions, combinées à l'utilisation du cryptage AES pour verrouiller les fichiers, rendent non seulement la récupération des données difficile, mais augmentent également la pression exercée sur les victimes pour qu'elles se conforment aux demandes de rançon.

Cette phase démontre la capacité de 8Base à ne pas se contenter de pénétrer et de naviguer dans les systèmes, mais à laisser un impact durable sur les organisations touchées.

Accès Initial

Les pirates de 8Base lancent souvent leurs attaques en déployant des campagnesphishing pour dissimuler des charges utiles ou en utilisant des outils comme Angry IP Scanner pour identifier et exploiter les ports vulnérables du protocole de bureau à distance (RDP).

Ils utilisent des attaques par force brute pour accéder aux services RDP exposés, puis effectuent des recherches pour établir le profil de leurs victimes et établir des connexions avec les adresses IP ciblées.

Élévation de privilèges

8Base renforce son contrôle sur les systèmes compromis en exécutant des opérations d'usurpation d'identité et de vol de jetons.

Cette technique consiste à manipuler les jetons du système à l'aide de la fonction DuplicateToken(), ce qui permet aux attaquants d'élever discrètement leurs privilèges.

Cette étape critique garantit qu'ils peuvent accéder à des zones plus sensibles du système sans être immédiatement détectés.

Défense Evasion

Pour rester discret et éviter d'être détecté par les systèmes de sécurité, 8Base utilise quelques stratégies clés.

Ils mettent fin à toute une série de processus, ciblant à la fois les applications couramment utilisées, comme MS Office, et les logiciels de sécurité, afin de créer un environnement plus vulnérable pour leurs activités malveillantes.

En outre, ils utilisent l'empaquetage logiciel pour obscurcir les fichiers malveillants, notamment en empaquetant le ransomware Phobos dans la mémoire, ce qui rend plus difficile l'identification et le blocage du site malware par les outils de sécurité.

Accès aux identifiants

Découverte

Dans la phase de découverte, 8Base procède à la découverte des partages de réseau à l'aide de la fonction WNetEnumResource( ) pour parcourir méthodiquement les ressources du réseau.

Cela leur permet d'identifier des cibles intéressantes et de comprendre la structure du réseau, ce qui facilite les déplacements latéraux et la collecte de données.

Mouvement latéral

Collection

Exécution

Exfiltration

Impact

La phase d'impact est celle où les actions de 8Base aboutissent à des perturbations significatives pour la victime.

Ils exécutent des commandes qui empêchent la récupération du système, notamment en supprimant les copies d'ombre et les catalogues de sauvegarde et en modifiant les configurations de démarrage afin d'empêcher la réparation du système.

Ces actions, combinées à l'utilisation du cryptage AES pour verrouiller les fichiers, rendent non seulement la récupération des données difficile, mais augmentent également la pression exercée sur les victimes pour qu'elles se conforment aux demandes de rançon.

Cette phase démontre la capacité de 8Base à ne pas se contenter de pénétrer et de naviguer dans les systèmes, mais à laisser un impact durable sur les organisations touchées.

MITRE ATT&CK Mapping

TTPs utilisés par 8Base

TA0001: Initial Access

T1566

Phishing

T1133

External Remote Services

TA0002: Execution

T1129

Shared Modules

T1059

Command and Scripting Interpreter

TA0003: Persistence

T1547

Boot or Logon Autostart Execution

T1053

Scheduled Task/Job

TA0004: Privilege Escalation

T1547

Boot or Logon Autostart Execution

T1053

Scheduled Task/Job

TA0005: Defense Evasion

T1497

Virtualization/Sandbox Evasion

T1222

File and Directory Permissions Modification

T1202

Indirect Command Execution

T1112

Modify Registry

T1036

Masquerading

T1070

Indicator Removal

T1564

Hide Artifacts

T1562

Impair Defenses

TA0006: Credential Access

T1056

Input Capture

T1003

OS Credential Dumping

TA0007: Discovery

T1497

Virtualization/Sandbox Evasion

T1518

Software Discovery

T1083

File and Directory Discovery

T1082

System Information Discovery

T1057

Process Discovery

TA0008: Lateral Movement

T1080

Taint Shared Content

TA0009: Collection

T1560

Archive Collected Data

T1074

Data Staged

T1005

Data from Local System

TA0011: Command and Control

T1071

Application Layer Protocol

TA0010: Exfiltration

T1041

Exfiltration Over C2 Channel

TA0040: Impact

T1490

Inhibit System Recovery

T1485

Data Destruction

Détections de la plate-forme

Comment détecter 8Base avec Vectra AI

Liste des détections disponibles dans la plateforme Vectra AI qui indiqueraient une attaque de ransomware.

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

Voir plus de détections

Évaluez votre exposition aux attaques

Foire aux questions

Qu'est-ce que 8Base et comment fonctionne-t-il ?

8Base est un groupe de ransomware connu pour ses tactiques d'extorsion agressives, ciblant principalement les petites et moyennes entreprises de divers secteurs.

Il utilise une chaîne d'attaque sophistiquée qui comprend l'escalade des privilèges, l'évasion des défenses et le cryptage des données pour extorquer des rançons à ses victimes.

Comment 8Base obtient-elle un accès initial aux réseaux ?

8Base obtient généralement un accès initial par le biais de courriels phishing ou de kits d'exploitation, et utilise ces vecteurs pour déployer son ransomware ou s'implanter dans les systèmes ciblés.

Quels sont les secteurs les plus menacés par les attaques 8Base ?

8Base a montré une préférence pour les attaques contre les entreprises des secteurs des services aux entreprises, de la finance, de l'industrie et des technologies de l'information, probablement en raison de la nature sensible de leurs données et de leur capacité perçue à payer des rançons plus importantes.

Quelles sont les techniques utilisées par 8Base pour l'escalade des privilèges ?

8Base utilise l'usurpation d'identité et le vol de jetons pour l'escalade des privilèges, en manipulant les jetons du système pour obtenir des niveaux d'accès plus élevés dans les systèmes compromis.

Comment 8Base échappe-t-il aux mécanismes de détection et de défense ?

8Base utilise des techniques telles que l'interruption des processus liés à la sécurité et l'obscurcissement des fichiers malveillants par le biais d'un emballage logiciel afin d'échapper à la détection par les outils de sécurité traditionnels.

‍

Comment les organisations peuvent-elles détecter les intrusions 8Base et y répondre ?

Les organisations peuvent améliorer leurs capacités de détection et de réponse en mettant en œuvre une plateforme de détection des menaces pilotée par l'IA qui fournit une analyse et une détection en temps réel des activités de ransomware caractéristiques de groupes tels que 8Base.

Quel est l'impact de 8Base sur les organisations compromises ?

L'impact de 8Base comprend le cryptage de fichiers sensibles, l'inhibition des efforts de récupération du système et l'exfiltration potentielle de données, ce qui entraîne des perturbations opérationnelles, des pertes financières et des atteintes à la réputation.

Quelles sont les mesures préventives efficaces contre les attaques du ransomware 8Base ?

Les mesures efficaces comprennent des sauvegardes régulières des données, la formation des employés à phishing , la correction des vulnérabilités en temps voulu et le déploiement de solutions de sécurité avancées capables de détecter et d'atténuer les activités des ransomwares.

8Base peut-il être lié à d'autres groupes ou activités de ransomware ?

On suppose que 8Base pourrait avoir des liens avec d'autres groupes de ransomware comme RansomHouse, ou en être issu, en raison des similitudes entre leurs tactiques opérationnelles et leurs styles de communication verbale.

Quels outils ou stratégies les professionnels de la cybersécurité peuvent-ils utiliser pour enquêter sur les incidents 8Base ?

Les professionnels de la cybersécurité peuvent s'appuyer sur des outils d'analyse forensique, des plateformes de renseignement sur les menaces et des solutions de sécurité pilotées par l'IA pour enquêter sur les incidents, découvrir les vecteurs d'attaque et identifier les indicateurs de compromission (IOC) liés aux activités de 8Base.

Votre organisation est-elle à l'abri des attaques du ransomware 8Base ?

Évaluez votre exposition aux attaques