8BASE Ransomware Aumenta Su Actividad

Una investigación conducida por el equipo de VMware Carbon Black ha observado un reciente aumento en la actividad del grupo de ransomware denominado 8Base, la actividad del grupo se vería en aumento en junio y se ha podido observar la incursión del grupo en ataques de doble extorción, teniendo como objetivo, organizaciones a nivel mundial.

8Base es un grupo de actores maliciosos que ha estado activo desde 2022 y cuya actividad se ha visto limitada a unos pocos ataques sobresalientes. Sin embargo, recientemente se ha podido observar un aumento en las actividades del grupo, siendo el pico mas alto, el mes de junio.

Los objetivos principales del grupo de ransomware incluyen, pero no se limitan, a: servicios a empresas, organizaciones financieras, industria manufacturera e industria de tecnología

Recientemente se ha podido observar, desde el sitio de filtraciones del grupo de ransomware una gran actividad contra estas industrias, listándose hasta ahora 35 víctimas en el sitio alojado en la dark web, la actividad del grupo se ha visto reflejado en la añadidura de hasta 6 victimas al mismo tiempo, en dicha lista. Como se puede observar a continuación.

Según se puede observar en el sitio de 8Base, estos se ven a sí mismos como un grupo “honesto y simple” de pentesters, quienes ofrecen a las compañías las más leales condiciones para el retorno de la información cifrada, concluyendo con que, las compañías que encuentran en su lista son solamente aquellas que han descuidado la privacidad e importancia de la información de sus clientes y empleados.

Asociados y similitudes

El grupo de ransomware 8Base, utiliza técnicas de encriptación y de denuncia para obligar a sus víctimas a pagar los rescates. Este tipo de tácticas, sumado a varias similitudes que se abordaran a continuación, permite suponer que 8Base podría ser, o bien, un renombre de algún grupo de ransomware ya establecido, potencialmente Ransomhouse, o la colaboración de miembros de grupos anteriores.

Entre las primeras observaciones referentes a similitudes entre distintos grupos de ransomware, se tiene la nota de ransomware provista por los grupos con una coincidencia del 99% en la lingüística, estructura y contenido de estos, donde inclusive las páginas de FAQ parecieran ser un simple copy-paste, como se puede observar a continuación (8Base derecha y Ransomhouse izquierda).

Sin embargo, la evidencia expuesta resulta no ser suficiente a la hora de confirmar si 8Base es, de hecho, un descendiente de Ransomhouse o bien, solo un grupo de ransomware copiando las plantillas utilizadas por otro grupo de ransomware ya establecido, lo que resulta ser normal en este tipo de entornos de grupos maliciosos.

Otra de las similitudes compartidas con 8Base y otras organizaciones, es la utilización de la extensión “.8base” de Phobos, en archivos cifrados. 8Base hace uso de una versión personalizada de ransomware de Phobos v2.0.1 la cual se carga mediante SmokeLoader. Ya que Phobos es una operación de Ransomware-as-a-Service (RaaS), cualquier actor malicioso es capas de utilizar partes especialmente personalizadas a sus preferencias, como es el caso de 8Base.

Aunque 8Base añadió su propia personalización de marca añadiendo “.8base” a sus archivos cifrados, el formato de toda la parte añadida era el mismo que el de Phobos, que incluía una sección de identificación, una dirección de correo electrónico y, a continuación, la extensión del archivo.

Otro hallazgo notable en la investigación es que 8Base utiliza el dominio “admlogs25[.]xyz” para el alojamiento de la carga útil, que está asociado con SystemBC, un malware proxy utilizado por varios grupos de ransomware para la ofuscación C2.

Según las similitudes antes descritas, sería correcto suponer que 8Base es una rama de RansomeHouse o Phobos, sin embargo, al toparse con algunas otras diferencias, este hecho es algo que no se puede confirmar en un 100%. Lo que sí es cierto es la gran actividad reciente de 8Base, como lo ha demostrado en su sitio de filtraciones.  8Base apenas está empezando a recibir la atención de los analistas, por lo que muchos aspectos de su naturaleza técnica siguen siendo desconocidos o poco claros.

Actualización

Se registra actividad del grupo de Ransomware 8Base en la zona donde el grupo asegura haber cargado en sus servidores
Se cargaron en los servidores:

  • Recibos de facturas
  • Documentos contables
  • Datos personales
  • Certificados
  • Contratos de trabajo
  • Otros

Indicadores de compromiso actualizados

Tipo Indicador
Hash 518544e56e8ccee401ffa1b0a01a10ce23e49ec21ec441c6c7c3951b01c1b19c
Hash 5BA74A5693F4810A8EB9B9EEB1D69D943CF5BBC46F319A32802C23C7654194B0
Hash e142f4e8eb3fb4323fb377138f53db66e3e6ec9e82930f4b23dd91a5f7bd45d0
Hash C6BD5B8E14551EB899BBE4DECB6942581D28B2A42B159146BBC28316E6E14A64
Hash 518544E56E8CCEE401FFA1B0A01A10CE23E49EC21EC441C6C7C3951B01C1B19C
Hash AFDDEC37CDC1D196A1136E2252E925C0DCFE587963069D78775E0F174AE9CFE3
Hash 3D2B088A397E9C7E9AD130E178F885FEEBD9688B
Hash 5d0f447f4ccc89d7d79c0565372195240cdfa25f
Hash 9769c181ecef69544bbb2f974b8c0e10
Hash 20110FF550A2290C5992A5BB6BB44056
Hash 9769C181ECEF69544BBB2F974B8C0E10
Hash 5D0F447F4CCC89D7D79C0565372195240CDFA25F
Hash E142F4E8EB3FB4323FB377138F53DB66E3E6EC9E82930F4B23DD91A5F7BD45D0
URL hxxp[:]//dexblog45[.]xyz/statweb255/
URL hxxp[:]//sentrex219[.]xyz/777/mtx5sfN.exe
URL hxxp[:]//sentrex219[.]xyz/777/skx2auB.exe
IP 45.131.66[.]120
IP 45.89.125[.]136
Data POST a URL wlaexfpxrs[.]org
Data POST a URL serverlogs37[.]xyz
Petición GET de datos a URL admhexlogs25[.]xyz
Petición GET de datos a URL admlogs25[.]xyz
Petición GET de datos a URL admlog2[.]xyz
Petición GET de datos a URL dnm777[.]xyz
Petición GET de datos a URL dexblog[.]xyz
Petición GET de datos a URL blogstat355[.]xyz
Petición GET de datos a URL blogstatserv25[.]xyz
Nombre del archivo 9f1a.exe
Nombre del archivo d6ff.exe
Nombre del archivo 3c1e.exe
Nombre del archivo 8A26.exe
Nombre del archivo 8B7F.exe
Related Posts
Clear Filters

Guatemala ha sido blanco de ciberataques realizados por el grupo RansomHub, un colectivo de cibercriminales que ha ganado notoriedad por…

Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.