Un gang de rançongiciels 8Base cible des organisations du monde entier dans des attaques à double extorsion, avec un flux constant de nouvelles victimes depuis début juin.
Le gang de rançongiciels est apparu pour la première fois en mars 2022, restant relativement silencieux avec peu d’attaques notables.
Cependant, en juin 2023, l’opération de ransomware a connu un pic d’activité, ciblant de nombreuses entreprises de divers secteurs et réalisant une double extorsion.
Jusqu’à présent, 8Base a répertorié 35 victimes sur son site d’extorsion sur le Web sombre, certains jours annonçant jusqu’à six victimes à la fois.
Il s’agit d’une augmentation notable par rapport à mars et avril, lorsque le groupe n’a répertorié qu’une poignée de victimes, comme le montre le graphique ci-dessous.
Le site de fuite de données du gang a été lancé en mai 2023, le gang d’extorsion prétendant être des pentesters « honnêtes et simples ».
« Nous sommes des pentesters honnêtes et simples. Nous offrons aux entreprises les conditions les plus loyales pour le retour de leurs données », lit-on sur leur site de fuite de données.
« Cette liste ne contient que les entreprises qui ont négligé la confidentialité et l’importance des données de leurs employés et clients. »
Liens vers d’autres groupes de rançongiciels
Dans un nouveau rapport de l’équipe Carbon Black de VMware, les tactiques observées lors des récentes attaques 8Base indiquent qu’il s’agit d’une nouvelle image d’une organisation de ransomware bien établie, potentiellement RansomHouse.
RansomHouse est un groupe d’extorsion qui prétend ne pas mener d’attaques de cryptage, mais s’associe plutôt à des opérations de ransomware pour vendre leurs données. Cependant, Breachtrace est conscient des acteurs de la menace utilisant des rançongiciels dans les attaques, tels que White Rabbit ou MARIO, qui a également été lié au groupe de cybercriminalité FIN8.
VMware soupçonne que 8Base est une ramification de RansomHouse sur la base des notes de rançon identiques utilisées par les deux groupes et du langage et du contenu très similaires observés sur les sites de fuite respectifs, où même les pages FAQ semblent avoir été copiées-collées.
Cependant, il n’y a pas suffisamment de preuves pour déterminer si 8Base a été engendré par les membres de RansomHouse ou simplement une autre opération de ransomware copiant les modèles d’un groupe établi, ce qui n’est pas rare de voir parmi les acteurs de la menace.
D’un point de vue technique, 8Base utilise une version personnalisée du rançongiciel Phobos v2.9.1, qui est chargé via SmokeLoader.
Phobos est une opération RaaS ciblant Windows qui est apparue pour la première fois en 2019 et partage de nombreuses similitudes de code avec l’opération de rançongiciel Dharma.
Lors du cryptage des fichiers, le ransomware ajoutera l’extension .8base lors des attaques récentes. Cependant, l’expert en ransomware Michael Gillespie a déclaré à Breachtrace que les soumissions de ransomware Phobos sur ID Ransomware utilisaient également l’extension .eight dans les attaques plus anciennes.
Breachtrace a découvert que dans les attaques les plus récentes qui ajoutent l’extension .8base et les anciennes attaques d’extension .eight, la même adresse e-mail de contact « [email protected] » était utilisée dès juin 2022.
Une autre découverte notable des analystes de VMware est que 8Base utilise le domaine « admlogs25[.]xyz » pour l’hébergement de la charge utile, qui est associé à SystemBC, un malware proxy utilisé par plusieurs groupes de ransomwares pour l’obfuscation C2.
Ces résultats montrent que les opérateurs 8Base mènent des attaques de chiffrement depuis au moins un an, mais ne se sont fait un nom que récemment après avoir lancé leur site de fuite de données.
8Base commence seulement à attirer l’attention des analystes, de sorte que de nombreux aspects de sa nature technique restent inconnus ou peu clairs.
Le rapport de VMware contient des indicateurs de compromission (IoC) que les défenseurs peuvent utiliser pour protéger leurs systèmes contre cette menace croissante.