Новости Вымогатель 8Base атаковал более 30 компаний за месяц

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.098
Репутация
11.695
Реакции
61.888
RUB
50
Вымогатель 8Base, который существует более года, но обычно был практически незаметен, перешел к массовым атакам в мае и июне 2023 года, эксперты VMware Carbon Black.


По информации исследователей, только в июне операторы малвари взломали более 30 малых предприятий.

8Base впервые попал в поле зрения исследователей в марте 2022 года, но после этого оставался практически неактивным. Ситуация изменилась в июне 2023 года, когда активность малвари резко возросла, и злоумышленники атаковали множество компании в самых разных отраслях. В общей сложности на сегодня 8Base скомпрометировала около 80 организаций в таких отраслях, как автомобилестроение, бизнес-услуги, строительство, финансы, здравоохранение, гостиничный бизнес, ИТ, производство и недвижимость.

На данный момент на сайте 8Base в даркнете перечислены 35 жертв, причем в некоторые дни группировка сообщала о взломе до шести компаний за раз. Это делает 8Base одним из самых активных вымогательских вредоносов последних месяцев.



Эксперты VMware Carbon Black полагают, что 8Base – это ребрендинг известной вымогательской группировки RansomHouse, которая ранее брала на себя ответственность за взлом компаний и .

Исследователи видят связь между этими группами, основываясь на практически идентичных записках с требованием выкупа, а также на сходстве языка и содержимого сайтов хакеров (даже страницы FAQ, похоже, просто скопировали и перенесли с одного сайта на другой).



Основное различие между двумя вымогателями заключается в том, что RansomHouse открыто набирает партнеров, то 8Base — нет.

С технической точки зрения 8Base представляет собой кастомную версию малвари Phobos v2.9.1, которая загружается через SmokeLoader. Phobos — это ориентированная на Windows RaaS-малварь, которая впервые появилась в 2019 году, а ее код схож с вымогателем Dharma. В ходе шифровании вымогатель добавляет расширение .8base к пострадавшим файлам.

Еще одно интереснее открытие аналитиков VMware: 8Base использует домен admlogs25[.]xyz для размещения полезной нагрузки. Этот домен связан с прокси-малварью , которую вымогательские группировки используют для обфускации C&C.

«Является ли 8Base ответвлением Phobos или RansomHouse, еще только предстоит выяснить. Интересно, что 8Base практически идентична RansomHouse, но использует вымогательское ПО Phobos. Этим летом 8Base стала одной из самых активных вымогательских групп», — резюмируют специалисты.

 
Аналитики VMware Carbon Black сообщают, что вымогатель 8Base начал массовые атаки в мае и июне 2023 года. Ранее этот вымогатель был практически незаметен, но в последние месяцы он взломал более 30 малых предприятий. 8Base впервые обнаружили в марте 2022 года, но после этого он оставался бездействующим. Тем не менее, ситуация изменилась этим летом, и 8Base начал атаковать организации различных отраслей. Всего за время своей деятельности вымогатель скомпрометировал около 80 компаний в разных отраслях, включая автомобилестроение, финансы, здравоохранение и недвижимость. На данный момент на сайте 8Base в даркнете перечислены 35 жертв, и группировка сообщает о взломе нескольких компаний в день. Эксперты предполагают, что 8Base является ребрендингом известной группировки RansomHouse и видят сходство между ними в требованиях выкупа и содержимом их сайтов. Технически 8Base представляет собой кастомную версию малвари Phobos v2.9.1. В ходе шифрования вымогатель добавляет расширение .8base к файлам. 8Base также использует домен admlogs25[.]xyz для размещения полезной нагрузки, который связан с прокси-малварью SystemBC, используемой для обфускации команд и контроля. Аналитики отмечают, что 8Base является одной из самых активных вымогательских групп этим летом.
 
Вот наглец какой ааа
 
Сверху Снизу