Investigadores de Cisco Talos arrojaron luz recientemente sobre las últimas actividades de ransomware orquestadas por el grupo de ransomware 8Base.. Aprovechando una nueva variante del famoso ransomware Fobos, Estos actores de amenazas han estado intensificando sus ataques con motivación financiera., incitando a los expertos en ciberseguridad a examinar de cerca sus métodos.
Conozca el grupo de ransomware 8Base
Según Guilherme Venere, investigador de seguridad en Cisco Talos, Las variantes de Phobos del grupo se distribuyen predominantemente a través de Cargador de humo, un troyano de puerta trasera conocido por implementar cargas útiles adicionales. Sin embargo, en el caso de campañas de 8Base, el componente de ransomware está integrado de forma única en cargas útiles cifradas, una desviación del modus operandi típico de este tipo de malware.
El ransomware 8Base llamó la atención por primera vez a mediados de 2023, marcado por un aumento significativo en la actividad observado por la comunidad de ciberseguridad. A pesar de su reciente protagonismo, Los indicios sugieren que 8Base ha estado activo desde al menos marzo. 2022. Un análisis previo de VMware Carbon Black identificó paralelismos entre 8Base y RansomHouse, complicando aún más la atribución de estos ataques.
Cisco Talos’ Los hallazgos revelan que SmokeLoader sirve como plataforma de lanzamiento para ejecutar la carga útil Phobos en ataques 8Base.. Una vez iniciado, el ransomware toma medidas deliberadas para establecer la persistencia, finalizar procesos que obstaculizan el acceso a archivos, desactivar las opciones de recuperación del sistema, y erradicar las copias de seguridad y las instantáneas.
Métodos de cifrado
Una característica distintiva de 8Base es su estrategia de cifrado., que implica el cifrado completo de los archivos a continuación 1.5 MB y cifrado parcial para archivos más grandes para acelerar el proceso de cifrado. Además, el malware incorpora una configuración compleja con más de 70 opciones, cifrado usando una clave codificada. Esta configuración desbloquea funciones avanzadas., incluido el control de cuentas de usuario (UAC) omitir y reportar infecciones de víctimas a una URL externa.
De particular interés es la presencia de una clave RSA codificada, salvaguardar la clave AES por archivo utilizada en el cifrado. Según Talos, El conocimiento de esta clave RSA podría facilitar potencialmente el descifrado de archivos bloqueados por las variantes de Phobos desde 2019.
El ransomware Fobos, se remonta a su aparición en 2019, es una forma evolucionada del Dharma (Crysis) ransomware. Operar como un ransomware como servicio (RAAS), Phobos exhibe administración central con variaciones vendidas a afiliados usando la misma clave pública RSA. Las listas de bloqueo de extensiones actualizadas periódicamente indican un esfuerzo concertado para evitar la interferencia entre los afiliados de Phobos..
El ransomware se vuelve más sofisticado
Estas revelaciones llegan en un momento en que el panorama de la ciberseguridad está siendo testigo del surgimiento de nuevas, productos sofisticados de ransomware. La divulgación de UBUD, un ransomware desarrollado en C con sólidas medidas antidetección, y la denuncia formal del grupo de ransomware BlackCat ante EE. UU.. Comisión Nacional del Mercado de Valores (SEGUNDO) Destacar las crecientes tácticas empleadas por los actores de amenazas..