I ricercatori di Cisco Talos hanno recentemente fatto luce sulle ultime attività di ransomware orchestrate dal gruppo ransomware 8Base. Sfruttando una nuova variante del famigerato Phobos ransomware, questi autori di minacce hanno intensificato i loro attacchi motivati finanziariamente, spingendo gli esperti di sicurezza informatica a esaminare attentamente i loro metodi.
Incontra il gruppo 8Base Ransomware
Secondo Guilherme Venere, un ricercatore di sicurezza presso Cisco Talos, le varianti Phobos del gruppo sono distribuite prevalentemente attraverso SmokeLoader, un trojan backdoor noto per la distribuzione di payload aggiuntivi. Tuttavia, nel caso di campagne 8Base, il componente ransomware è incorporato in modo univoco all'interno di payload crittografati, una deviazione dal tipico modus operandi di tale malware.
Il ransomware 8Base ha attirato l’attenzione per la prima volta a metà del 2023, segnato da un significativo aumento dell’attività osservato dalla comunità della sicurezza informatica. Nonostante la sua recente importanza, le indicazioni suggeriscono che 8Base è attivo almeno da marzo 2022. Una precedente analisi di VMware Carbon Black ha identificato parallelismi tra 8Base e RansomHouse, complicando ulteriormente l’attribuzione di questi attacchi.
Cisco Talos’ i risultati rivelano che SmokeLoader funge da trampolino di lancio per l'esecuzione del carico utile Phobos negli attacchi 8Base. Una volta avviato, il ransomware adotta misure deliberate per stabilire la persistenza, terminare i processi che ostacolano l'accesso ai file, disabilitare le opzioni di ripristino del sistema, ed eliminare i backup e le copie shadow.
Metodi di crittografia
Una caratteristica distintiva di 8Base è la sua strategia di crittografia, che comporta la crittografia completa dei file di seguito 1.5 MB e crittografia parziale per file più grandi per accelerare il processo di crittografia. Inoltre, il malware incorpora una configurazione complessa con over 70 opzioni, crittografato utilizzando una chiave hardcoded. Questa configurazione sblocca funzionalità avanzate, compreso il controllo dell'account utente (UAC) bypassare e segnalare le infezioni delle vittime a un URL esterno.
Di particolare interesse è la presenza di una chiave RSA hardcoded, salvaguardando la chiave AES per file utilizzata nella crittografia. Secondo Talos, la conoscenza di questa chiave RSA potrebbe potenzialmente facilitare la decrittazione dei file bloccati dalle varianti di Phobos da allora 2019.
Il ransomware Phobos, risalire alla sua comparsa in 2019, è una forma evoluta del Dharma (Crysis) ransomware. Funziona come un ransomware-as-a-service (RAAS), Phobos presenta una gestione centrale con varianti vendute agli affiliati utilizzando la stessa chiave pubblica RSA. Gli elenchi di estensioni bloccate regolarmente aggiornati indicano uno sforzo concertato per prevenire interferenze tra gli affiliati di Phobos.
Il ransomware diventa sempre più sofisticato
Queste rivelazioni arrivano in un momento in cui il panorama della sicurezza informatica sta assistendo all’emergere di novità, sofisticati prodotti ransomware. La divulgazione di UBUD, un ransomware sviluppato in C con robuste misure anti-rilevamento, e la denuncia formale del gruppo ransomware BlackCat agli Stati Uniti. Commissione per i titoli e gli scambi (SEZ) evidenziare le tattiche di escalation impiegate dagli autori delle minacce.