Onderzoekers van Cisco Talos werpen onlangs licht op de nieuwste ransomware-activiteiten, georkestreerd door de 8Base-ransomwaregroep. Gebruikmakend van een nieuwe variant van de beruchte Phobos ransomware, deze dreigingsactoren hebben hun financieel gemotiveerde aanvallen geïntensiveerd, Dit heeft cyberbeveiligingsexperts ertoe aangezet hun methoden nauwkeurig te onderzoeken.
Maak kennis met de 8Base Ransomware Groep
Volgens Guilherme Venere, een beveiligingsonderzoeker bij Cisco Talos, De Phobos-varianten van de groep worden voornamelijk gedistribueerd via Rooklader, een achterdeurtrojan die bekend staat om het inzetten van extra ladingen. Echter, in het geval van 8Base-campagnes, de ransomware-component is op unieke wijze ingebed in gecodeerde payloads, een afwijking van de typische modus operandi van dergelijke malware.
De 8Base-ransomware trok medio 2023 voor het eerst de aandacht, gekenmerkt door een aanzienlijke toename van de activiteit waargenomen door de cyberbeveiligingsgemeenschap. Ondanks zijn recente bekendheid, Er zijn aanwijzingen dat 8Base in ieder geval sinds maart actief is 2022. Een eerdere analyse door VMware Carbon Black identificeerde parallellen tussen 8Base en RansomHouse, waardoor de toeschrijving van deze aanvallen nog ingewikkelder wordt.
Cisco Talos’ Uit bevindingen blijkt dat SmokeLoader dient als lanceerplatform voor het uitvoeren van de Phobos-payload bij 8Base-aanvallen. Eenmaal gestart, de ransomware neemt doelbewuste stappen om persistentie tot stand te brengen, beëindig processen die de toegang tot bestanden belemmeren, schakel de systeemherstelopties uit, en verwijder back-ups en schaduwkopieën.
Versleutelingsmethoden
Een onderscheidend kenmerk van 8Base is de encryptiestrategie, waarbij volledige versleuteling van de onderstaande bestanden betrokken is 1.5 MB en gedeeltelijke codering voor grotere bestanden om het coderingsproces te versnellen. Bovendien, de malware bevat een complexe configuratie met over 70 opties, gecodeerd met een hardgecodeerde sleutel. Deze configuratie ontgrendelt geavanceerde functies, inclusief Gebruikersaccountbeheer (UAC) omzeilen en slachtofferinfecties melden via een externe URL.
Van bijzonder belang is de aanwezigheid van een hardgecodeerde RSA-sleutel, het beschermen van de AES-sleutel per bestand die wordt gebruikt bij de codering. Volgens Talos, Kennis van deze RSA-sleutel zou mogelijk de decodering kunnen vergemakkelijken van bestanden die sindsdien door Phobos-varianten zijn vergrendeld 2019.
De Phobos-ransomware, terug te voeren op zijn ontstaan in 2019, is een geëvolueerde vorm van de Dharma (Crysis) ransomware. Werkt als een ransomware-as-a-service (RAAS), Phobos vertoont centraal beheer met variaties die aan aangesloten bedrijven worden verkocht met dezelfde openbare RSA-sleutel. De regelmatig bijgewerkte extensiebloklijsten duiden op een gezamenlijke inspanning om interferentie tussen Phobos-filialen te voorkomen.
Ransomware wordt steeds geavanceerder
Deze onthullingen komen op een moment dat het cyberbeveiligingslandschap getuige is van de opkomst van nieuwe ontwikkelingen, geavanceerde ransomwareproducten. De onthulling van UBUD, een door C ontwikkelde ransomware met robuuste anti-detectiemaatregelen, en de formele klacht van de BlackCat-ransomwaregroep bij de VS. Beveiligingen en Uitwisselingen Commissie (SEC) benadrukken de escalerende tactieken die door bedreigingsactoren worden gebruikt.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: