8Base Group implementa una nueva variante de Phobos Ransomware a través de SmokeLoader

Los actores de amenazas detrás del ransomware 8Base están aprovechando una variante del ransomware Phobos para llevar a cabo sus ataques por motivos financieros.

Los hallazgos provienen de Cisco Talos, que ha registrado un aumento en la actividad llevada a cabo por los ciberdelincuentes.

“La mayoría de las variantes de Phobos del grupo son distribuidas por SmokeLoader, un troyano de puerta trasera”, dijo el investigador de seguridad Guilherme Venere en un exhaustivo análisis de dos partes publicado el viernes.

“Este cargador de productos básicos generalmente suelta o descarga cargas útiles adicionales cuando se despliega. Sin embargo, en las campañas de 8Base, tiene el componente de ransomware incrustado en sus cargas útiles cifradas, que luego se descifra y se carga en la memoria del proceso SmokeLoader”.

8Base se puso de manifiesto a mediados de 2023, cuando la comunidad de ciberseguridad observó un aumento similar de la actividad. Se dice que está activo al menos desde marzo de 2022.

Un análisis anterior de VMware Carbon Black en junio de 2023 identificó paralelismos entre 8Base y RansomHouse, además de descubrir una muestra de ransomware Phobos que se encontró utilizando la extensión de archivo “.8base” para archivos cifrados.

Esto aumentó la probabilidad de que 8Base sea un sucesor de Phobos o que los actores de amenazas detrás de la operación simplemente estén utilizando cepas de ransomware ya existentes para llevar a cabo sus ataques, similar al grupo de ransomware Vice Society.

Los últimos hallazgos de Cisco Talos muestran que SmokeLoader se utiliza como plataforma de lanzamiento para ejecutar la carga útil de Phobos, que luego lleva a cabo pasos para establecer la persistencia, terminar los procesos que pueden mantener abiertos los archivos de destino, deshabilitar la recuperación del sistema y eliminar copias de seguridad, así como instantáneas.

Otra característica notable es el cifrado completo de los archivos que están por debajo de 1,5 MB y el cifrado parcial de los archivos por encima del umbral para acelerar el proceso de cifrado.

Además, el artefacto incorpora una configuración con más de 70 opciones que está encriptada mediante una clave codificada. La configuración desbloquea funciones adicionales, como la omisión del control de cuentas de usuario (UAC) y la notificación de una infección víctima a una URL externa.

También hay una clave RSA codificada para proteger la clave AES por archivo utilizada en el cifrado, lo que, según Talos, podría ayudar a permitir el descifrado de los archivos bloqueados por el ransomware.

“Una vez que se cifra cada archivo, la clave utilizada en el cifrado junto con los metadatos adicionales se cifra mediante RSA-1024 con una clave pública codificada y se guarda al final del archivo”, explicó Venere.

“Implica, sin embargo, que una vez que se conoce la clave RSA privada, cualquier archivo cifrado por cualquier variante de Phobos desde 2019 se puede descifrar de manera confiable”.

Phobos Ransomware

Phobos, que surgió por primera vez en 2019, es una evolución del ransomware Dharma (también conocido como Crysis), y el ransomware se manifiesta predominantemente como las variantes Eking, Eight, Elbie, Devos y Faust, según el volumen de artefactos desenterrados en VirusTotal.

“Todas las muestras contenían el mismo código fuente y se configuraron para evitar el cifrado de archivos que otros afiliados a Phobos ya estaban bloqueados, pero la configuración cambió ligeramente dependiendo de la variante que se implementara”, dijo Venere. “Esto se basa en una lista de bloqueo de extensiones de archivo en los ajustes de configuración del ransomware”.

Cisco Talos evalúa que Phobos está estrechamente gestionado por una autoridad central, mientras que se vende como ransomware como servicio (RaaS) a otros afiliados en función de la misma clave pública RSA, las variaciones en los correos electrónicos de contacto y las actualizaciones periódicas de las listas de bloqueo de extensiones del ransomware.

“Las listas de bloqueo de extensiones parecen contar una historia de qué grupos usaron esa misma muestra base a lo largo del tiempo”, dijo Venere.

“Las listas de bloqueo de extensiones encontradas en las muchas muestras de Fobos […] se actualizan continuamente con nuevos archivos que han sido bloqueados en campañas anteriores de Phobos. Esto puede apoyar la idea de que hay una autoridad central detrás del constructor que realiza un seguimiento de quién usó Fobos en el pasado. La intención podría ser evitar que los afiliados de Fobos interfieran con las operaciones de los demás”.

El desarrollo se produce cuando FalconFeeds reveló que un actor de amenazas está anunciando un sofisticado producto de ransomware llamado UBUD que está desarrollado en C y cuenta con “fuertes medidas antidetección contra máquinas virtuales y herramientas de depuración”.

También sigue a una queja formal presentada por el grupo de ransomware BlackCat ante la Comisión de Bolsa y Valores de EE. UU. (SEC), alegando que una de sus víctimas, MeridianLink, no cumplió con las nuevas regulaciones de divulgación que requieren que las empresas afectadas informen el incidente dentro de los cuatro días hábiles, informó DataBreaches.net.

Desde entonces, la compañía de software financiero ha confirmado que fue objeto de un ataque cibernético el 10 de noviembre, pero señaló que no encontró evidencia de acceso no autorizado a sus sistemas.

Si bien las reglas de divulgación de la SEC no entrarán en vigencia hasta el próximo mes, el 18 de diciembre, la táctica de presión inusual es una señal de que los actores de amenazas están observando de cerca el espacio y están dispuestos a doblar las regulaciones gubernamentales en su beneficio y obligar a las víctimas a pagar.

Dicho esto, vale la pena señalar que la aplicación se aplica exclusivamente en situaciones en las que las empresas han identificado que los ataques han tenido un impacto “material” en sus resultados.

Mientras tanto, otra prolífica banda de ransomware, LockBit, ha instituido nuevas reglas de negociación a partir de octubre de 2023, citando acuerdos menores de lo esperado y mayores descuentos ofrecidos a las víctimas debido a los “diferentes niveles de experiencia de los afiliados”.

“Establecer una solicitud de rescate mínima en función de los ingresos anuales de la empresa, por ejemplo, del 3%, y prohibir los descuentos de más del 50%”, dijeron los operadores de LockBit, según un informe detallado de Analyst1.

“Por lo tanto, si los ingresos de la empresa son de 100 millones de dólares, la solicitud de rescate inicial debe comenzar desde 3 millones de dólares y el pago final no debe ser inferior a 1,5 millones de dólares”.

Related Posts
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.