In einer neuen Analyse widmet sich Trend Micro der Ransomware-Gruppe 8Base. Diese nahm in den ersten Monaten des Jahres 2024 den zweiten Platz auf der Liste der „erfolgreichsten“ Ransomware-Akteure ein – gleich hinter dem „Platzhirsch“ Lockbit.
Mit der erfolgreichen Operation internationaler Strafverfolgungsbehörden gegen Lockbit ist zu erwarten, dass 8Base seine Bedeutung in der Ransomware-Landschaft weiter ausbauen wird.
Die 8Base-Gruppe gibt sich in der Außendarstellung zwar als Penetrationstester aus und behauptet auf ihrer Leak-Site, es ausschließlich auf Unternehmen abgesehen zu haben, die „die Privatsphäre und die Bedeutung der Daten ihrer Mitarbeiter und Kunden vernachlässigen“. Gleichzeitig erpresst sie jedoch ihre Opfer, insbesondere kleine Unternehmen, indem sie eine doppelte Erpressungsstrategie verfolgt. Die Malware verschafft sich in erster Linie über Phishing-Mails Zugang, aber es fanden sich auch Samples auf Domänen, die offenbar mit SystemBC, einem Proxy- und Remote-Admintool (RAT), in Verbindung stehen. Trend Micro hat die Gruppe im Detail analysiert und bietet umfassende Einblicke.
Zu den wichtigsten Erkenntnissen gehören:
- Die Ransomware-Gruppe 8Base wurde im März 2022 entdeckt und nutzt eine „Name-and-Shame“-Taktik, um ihre Opfer zu erpressen, indem sie sensible Informationen verschlüsselt und mit der Veröffentlichung droht.
- Obwohl sich 8Base als Penetrationstester positioniert, verfolgt die Gruppe bei ihren Angriffen finanzielle Motive und hat bereits öffentliche Gesundheitseinrichtungen in den USA ins Visier genommen.
- 8Base nutzt Phobos-Ransomware Version 2.9.1 und SmokeLoader für die Verschleierung beim Eindringen und setzt hauptsächlich auf Phishing-Mails als Eintrittspunkt.
- Die Gruppierung konzentriert sich vor allem auf Unternehmen in Nordamerika, zielt jedoch auch auf europäische Unternehmen ab, insbesondere in den Branchen Fertigung und Finanzen.
- Die Angriffe von 8Base haben vor allem kleine Unternehmen im Visier, obwohl oder gerade, weil sich die Gruppe als Penetrationstester ausgibt.
- Die Angriffskette und verwendeten Techniken von 8Base sind vielfältig und umfassen Phishing, Credential Access, Schutzumgehung, laterale Bewegung, Privilegienerweiterung, Exfiltrierung und Auswirkungen durch Verschlüsselung.
(pd/ Trend Micro)