Forskere fra Cisco Talos kastede for nylig lys over de seneste ransomware-aktiviteter orkestreret af 8Base ransomware-gruppen. Udnyttelse af en ny variant af det berygtede Phobos ransomware, disse trusselsaktører har intensiveret deres økonomisk motiverede angreb, får cybersikkerhedseksperter til at undersøge deres metoder nøje.
Mød 8Base Ransomware Group
Ifølge Guilherme Venere, en sikkerhedsforsker hos Cisco Talos, gruppens Phobos-varianter er overvejende fordelt igennem SmokeLoader, en bagdørstrojan kendt for at implementere yderligere nyttelast. Men, i tilfælde af 8Base-kampagner, ransomware-komponenten er unikt indlejret i krypterede nyttelaster, en afvigelse fra den typiske modus operandi for sådan malware.
8Base ransomware vakte først opmærksomhed i midten af 2023, præget af en betydelig stigning i aktivitet observeret af cybersikkerhedssamfundet. På trods af dens seneste fremtræden, indikationer tyder på, at 8Base har været aktiv siden mindst marts 2022. En tidligere analyse fra VMware Carbon Black identificerede paralleller mellem 8Base og RansomHouse, yderligere komplicerer tilskrivelsen af disse angreb.
Cisco Talos’ resultater afslører, at SmokeLoader fungerer som affyringsrampe til at udføre Phobos-nyttelasten i 8Base-angreb. Når først påbegyndt, ransomwaren tager bevidste skridt for at etablere persistens, afslutte processer, der hindrer filadgang, deaktivere systemgendannelsesmuligheder, og udrydde sikkerhedskopier og skyggekopier.
Krypteringsmetoder
Et karakteristisk træk ved 8Base er dens krypteringsstrategi, involverer fuld kryptering af nedenstående filer 1.5 MB og delvis kryptering for større filer for at fremskynde krypteringsprocessen. Derudover, malwaren inkorporerer en kompleks konfiguration med over 70 muligheder, krypteret med en hårdkodet nøgle. Denne konfiguration låser op for avancerede funktioner, herunder brugerkontokontrol (UAC) omgå og rapportere offerinfektioner til en ekstern URL.
Af særlig interesse er tilstedeværelsen af en hårdkodet RSA-nøgle, sikring af AES-nøgle pr. fil, der bruges til kryptering. Ifølge Talos, viden om denne RSA-nøgle kunne potentielt lette dekrypteringen af filer, der er låst af Phobos-varianter siden 2019.
Phobos ransomware, spores tilbage til dens opståen i 2019, er en udviklet form for Dharma (Crysis) ransomware. Fungerer som en ransomware-som-en-tjeneste (Raas), Phobos udviser central styring med varianter, der sælges til tilknyttede selskaber, der bruger den samme offentlige RSA-nøgle. De regelmæssigt opdaterede udvidelsesblokeringslister indikerer en fælles indsats for at forhindre interferens mellem Phobos-tilknyttede selskaber.
Ransomware bliver mere sofistikeret
Disse afsløringer kommer på et tidspunkt, hvor cybersikkerhedslandskabet er vidne til fremkomsten af nye, sofistikerede ransomware-produkter. Offentliggørelsen af UBUD, en C-udviklet ransomware med robuste anti-detektionsforanstaltninger, og BlackCat ransomware-gruppens formelle klage til USA. Securities and Exchange Commission (SEC) fremhæve den eskalerende taktik, der anvendes af trusselsaktører.