8Base 勒索软件团伙正在针对世界各地的组织进行双重勒索攻击,自 6 月初以来,新受害者源源不断地增加。
该勒索软件团伙于 2022 年 3 月首次出现,一直相对安静,很少发生明显的攻击。
然而,2023 年 6 月,勒索软件活动激增,针对各行业的许多公司进行双重勒索。
到目前为止,8Base 已在其暗网勒索网站上列出了 35 名受害者,有时甚至会同时公布多达 6 名受害者。
与三月和四月相比,这一数字显着增加,当时该组织仅列出了少数受害者,如下图所示。
该团伙的数据泄露网站于 2023 年 5 月推出,勒索团伙自称是“诚实而简单”的渗透测试人员。
“我们是诚实而简单的渗透测试人员。我们为公司提供最忠实的数据归还条件,”他们的数据泄露网站上写道。
“这份名单只包含那些忽视员工和客户数据的隐私和重要性的公司。”
来源:ZZQIDC
其他勒索软件团体的链接
在 VMware 的 Carbon Black 团队的一份新报告中,最近 8Base 攻击中出现的策略表明,这些攻击是一个成熟的勒索软件组织(可能是 RansomHouse)的品牌重塑。
RansomHouse 是一个勒索组织,声称不进行加密攻击,而是与勒索软件运营机构合作出售其数据。然而,BleepingComputer 意识到威胁行为者 在攻击中利用勒索软件,例如 White Rabbit 或 MARIO,这些勒索软件也 与网络犯罪组织 FIN8 有关。
VMware 怀疑 8Base 是 RansomHouse 的一个分支,因为这两个组织使用了相同的勒索字条,并且在各自的泄露站点中看到了非常相似的语言和内容,甚至连常见问题解答页面似乎都是复制粘贴的。
然而,没有足够的证据来确定 8Base 是否是由 RansomHouse 成员产生的,或者只是另一个复制已建立的组织模板的勒索软件操作,这在威胁行为者中并不罕见。
从技术角度来看,8Base使用的是Phobos v2.9.1勒索软件的定制版本,通过SmokeLoader加载。
Phobos 是一种针对 Windows 的 RaaS 操作,于 2019 年首次出现,与 Dharma 勒索软件操作有许多代码相似之处。
在加密文件时,勒索软件会在最近的攻击中附加 .8base 扩展名。然而,勒索软件专家 Michael Gillespie告诉ZZQIDC, ID Ransomware 上提交的 Phobos 勒索软件 在较早的攻击中 也使用了 .8 扩展名。
BleepingComputer 发现,在附加 .8base 扩展名的较新攻击和较旧的 .8 扩展名攻击中,早在 2022 年 6 月就使用了相同的“helpermail@onionmail.org”联系电子邮件地址。
VMware 分析师的另一个值得注意的发现是,8Base 使用“admlogs25[.]xyz”域进行有效负载托管,该域与 SystemBC相关,SystemBC 是多个勒索软件组织用于 C2 混淆的代理恶意软件。
这些调查结果表明,8Base 运营商进行加密攻击至少一年了,但直到最近在推出数据泄露网站后才声名鹊起。
8Base 现在才开始受到分析师的关注,因此其技术本质的许多方面仍然未知或不清楚。
VMware 的报告包含妥协指标 (IoC),防御者可以使用这些指标来保护其系统免受这种不断上升的威胁。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 8Base 勒索软件团伙在 6 月份升级双重勒索攻击
