Des chercheurs de Cisco Talos ont récemment fait la lumière sur les dernières activités de ransomware orchestrées par le groupe de ransomware 8Base.. Tirer parti d'une nouvelle variante du célèbre phobos ransomware, ces acteurs malveillants ont intensifié leurs attaques motivées par des raisons financières, incitant les experts en cybersécurité à examiner de près leurs méthodes.
Rencontrez le groupe 8Base Ransomware
D'après Guilherme Venere, chercheur en sécurité chez Cisco Talos, les variantes Phobos du groupe sont principalement distribuées via Chargeur de fumée, un cheval de Troie de porte dérobée connu pour déployer des charges utiles supplémentaires. Cependant, dans le cas de campagnes 8Base, le composant du ransomware est intégré de manière unique dans les charges utiles cryptées, un écart par rapport au modus operandi typique de ces logiciels malveillants.
Le ransomware 8Base a attiré l’attention pour la première fois mi-2023, marqué par un regain d’activité important observé par la communauté de la cybersécurité. Malgré son importance récente, les indications suggèrent que 8Base est actif depuis au moins mars 2022. Une analyse précédente de VMware Carbon Black a identifié des parallèles entre 8Base et RansomHouse, compliquant encore davantage l'attribution de ces attaques.
Cisco Talos’ les résultats révèlent que SmokeLoader sert de rampe de lancement pour exécuter la charge utile Phobos dans les attaques 8Base. Une fois initié, le ransomware prend des mesures délibérées pour établir la persistance, mettre fin aux processus empêchant l'accès aux fichiers, désactiver les options de récupération du système, et éradiquer les sauvegardes et les clichés instantanés.
Méthodes de cryptage
Une caractéristique distinctive de 8Base est sa stratégie de cryptage, impliquant le cryptage complet des fichiers ci-dessous 1.5 Mo et cryptage partiel pour les fichiers plus volumineux afin d'accélérer le processus de cryptage. Plus, le malware intègre une configuration complexe avec plus de 70 Options, crypté à l'aide d'une clé codée en dur. Cette configuration débloque des fonctionnalités avancées, y compris le contrôle de compte d'utilisateur (UAC) contourner et signaler les infections des victimes vers une URL externe.
La présence d'une clé RSA codée en dur est particulièrement intéressante., sauvegarder la clé AES par fichier utilisée dans le cryptage. D'après Talos, la connaissance de cette clé RSA pourrait potentiellement faciliter le décryptage des fichiers verrouillés par les variantes de Phobos puisque 2019.
Le rançongiciel Phobos, remonte à son apparition dans 2019, est une forme évoluée du Dharma (Crysis) ransomware. Fonctionnant comme un ransomware-as-a-service (RAAS), Phobos présente une gestion centrale avec des variantes vendues aux affiliés en utilisant la même clé publique RSA. Les listes de blocage d'extensions régulièrement mises à jour indiquent un effort concerté pour empêcher les interférences entre les affiliés de Phobos..
Les ransomwares deviennent de plus en plus sophistiqués
Ces révélations surviennent à un moment où le paysage de la cybersécurité voit émerger de nouveaux, produits ransomware sophistiqués. La divulgation d’UBUD, un ransomware développé en C avec des mesures anti-détection robustes, et la plainte officielle du groupe de ransomware BlackCat auprès des États-Unis. Commission de Sécurité et d'Echanges (SECONDE) mettre en évidence les tactiques croissantes employées par les acteurs de la menace.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: