Pesquisadores do Cisco Talos lançaram recentemente luz sobre as mais recentes atividades de ransomware orquestradas pelo grupo de ransomware 8Base. Aproveitando uma nova variante do notório Phobos ransomware, esses atores de ameaças têm intensificado seus ataques com motivação financeira, levando os especialistas em segurança cibernética a examinarem de perto seus métodos.
Conheça o Grupo 8Base Ransomware
De acordo com Guilherme Venere, pesquisador de segurança da Cisco Talos, as variantes Phobos do grupo são distribuídas predominantemente através Carregador de Fumaça, um trojan backdoor conhecido por implantar cargas adicionais. Contudo, no caso de campanhas 8Base, o componente ransomware é incorporado exclusivamente em cargas criptografadas, um desvio do modus operandi típico de tal malware.
O ransomware 8Base chamou a atenção pela primeira vez em meados de 2023, marcado por um aumento significativo na atividade observado pela comunidade de segurança cibernética. Apesar de seu recente destaque, indicações sugerem que o 8Base está ativo pelo menos desde março 2022. Uma análise anterior da VMware Carbon Black identificou paralelos entre 8Base e RansomHouse, complicando ainda mais a atribuição desses ataques.
Cisco Talos’ as descobertas revelam que o SmokeLoader serve como uma plataforma de lançamento para executar a carga útil de Phobos em ataques 8Base. Uma vez iniciado, o ransomware toma medidas deliberadas para estabelecer persistência, encerrar processos que impedem o acesso a arquivos, desabilitar opções de recuperação do sistema, e erradicar backups e cópias de sombra.
Métodos de criptografia
Uma característica distintiva do 8Base é sua estratégia de criptografia, envolvendo criptografia completa dos arquivos abaixo 1.5 MB e criptografia parcial para arquivos maiores para agilizar o processo de criptografia. Além disso, o malware incorpora uma configuração complexa com mais de 70 opções, criptografado usando uma chave codificada. Esta configuração desbloqueia recursos avançados, incluindo controle de conta de usuário (UAC) ignorar e relatar infecções de vítimas para um URL externo.
De particular interesse é a presença de uma chave RSA codificada, protegendo a chave AES por arquivo usada na criptografia. De acordo com Talos, o conhecimento desta chave RSA poderia potencialmente facilitar a descriptografia de arquivos bloqueados pelas variantes do Phobos, uma vez que 2019.
O ransomware Phobos, remonta ao seu surgimento em 2019, é uma forma evoluída do Dharma (crise) ransomware. Operando como um ransomware como serviço (Raas), Phobos exibe gerenciamento central com variações vendidas a afiliados usando a mesma chave pública RSA. As listas de bloqueio de extensões atualizadas regularmente indicam um esforço conjunto para evitar interferência entre as afiliadas da Phobos.
Ransomware se tornando mais sofisticado
Estas revelações surgem num momento em que o panorama da cibersegurança testemunha o surgimento de novas, produtos sofisticados de ransomware. A divulgação do UBUD, um ransomware desenvolvido em C com medidas antidetecção robustas, e a reclamação formal do grupo de ransomware BlackCat aos EUA. Comissão de Segurança e Câmbio (SEC) destacar as táticas crescentes empregadas pelos atores da ameaça.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: