Forscher von Cisco Talos haben kürzlich Licht auf die neuesten Ransomware-Aktivitäten der 8Base-Ransomware-Gruppe geworfen. Eine neue Variante des Berüchtigten nutzen Phobos Ransomware, Diese Bedrohungsakteure haben ihre finanziell motivierten Angriffe intensiviert, Dies veranlasst Cybersicherheitsexperten, ihre Methoden genau zu prüfen.
Lernen Sie die 8Base Ransomware Group kennen
Laut Guilherme Venere, ein Sicherheitsforscher bei Cisco Talos, Die Phobos-Varianten der Gruppe werden überwiegend über verbreitet SmokeLoader, ein Backdoor-Trojaner, der dafür bekannt ist, zusätzliche Payloads bereitzustellen. Jedoch, im Fall von 8Base-Kampagnen, Die Ransomware-Komponente ist eindeutig in verschlüsselte Nutzlasten eingebettet, eine Abweichung vom typischen Modus Operandi solcher Malware.
Die Ransomware 8Base erregte erstmals Mitte 2023 Aufmerksamkeit, gekennzeichnet durch einen erheblichen Anstieg der Aktivitäten, der von der Cybersicherheits-Community beobachtet wurde. Trotz seiner jüngsten Bekanntheit, Anzeichen deuten darauf hin, dass 8Base seit mindestens März aktiv ist 2022. Eine frühere Analyse von VMware Carbon Black identifizierte Parallelen zwischen 8Base und RansomHouse, was die Zuordnung dieser Angriffe weiter erschwert.
Cisco Talos’ Die Ergebnisse zeigen, dass SmokeLoader als Startrampe für die Ausführung der Phobos-Nutzlast bei 8Base-Angriffen dient. Einmal initiiert, Die Ransomware unternimmt bewusst Schritte, um Persistenz herzustellen, Beenden Sie Prozesse, die den Dateizugriff behindern, Deaktivieren Sie die Systemwiederherstellungsoptionen, und löschen Sie Backups und Schattenkopien.
Verschlüsselungsmethoden
Ein besonderes Merkmal von 8Base ist seine Verschlüsselungsstrategie, einschließlich vollständiger Verschlüsselung der unten aufgeführten Dateien 1.5 MB und teilweise Verschlüsselung für größere Dateien, um den Verschlüsselungsprozess zu beschleunigen. Zusätzlich, Die Malware enthält eine komplexe Konfiguration mit über 70 Optionen, mit einem hartcodierten Schlüssel verschlüsselt. Diese Konfiguration schaltet erweiterte Funktionen frei, einschließlich Benutzerkontensteuerung (UAC) Umgehung und Meldung von Opferinfektionen an eine externe URL.
Von besonderem Interesse ist das Vorhandensein eines hartcodierten RSA-Schlüssels, Schutz des AES-Schlüssels pro Datei, der bei der Verschlüsselung verwendet wird. Laut Talos, Die Kenntnis dieses RSA-Schlüssels könnte seitdem möglicherweise die Entschlüsselung von Dateien erleichtern, die durch Phobos-Varianten gesperrt wurden 2019.
Die Phobos-Ransomware, auf seine Entstehung zurückgeführt 2019, ist eine weiterentwickelte Form des Dharma (Crysis) Ransomware. Betrieb als Ransomware-as-a-Service (RAAS), Phobos verfügt über eine zentrale Verwaltung mit Varianten, die an Partner verkauft werden, die denselben öffentlichen RSA-Schlüssel verwenden. Die regelmäßig aktualisierten Sperrlisten für Erweiterungen weisen auf eine konzertierte Anstrengung hin, um Interferenzen zwischen Phobos-Partnern zu verhindern.
Ransomware wird immer ausgefeilter
Diese Enthüllungen kommen zu einer Zeit, in der in der Cybersicherheitslandschaft neue Entwicklungen entstehen, ausgefeilte Ransomware-Produkte. Die Offenlegung von UBUD, eine von C entwickelte Ransomware mit robusten Anti-Erkennungsmaßnahmen, und die formelle Beschwerde der BlackCat-Ransomware-Gruppe in den USA. Wertpapier- und Börsenkommission (SEK) Machen Sie die eskalierenden Taktiken der Bedrohungsakteure deutlich.