8base fidye yazılımı çetesi, Haziran ayının başından beri istikrarlı bir yeni kurban akışı ile dünya çapında çift genişlemeli saldırılarda organizasyonları hedefliyor.
Fidye yazılımı çetesi ilk olarak Mart 2022'de ortaya çıktı ve birkaç önemli saldırı ile nispeten sessiz kaldı.
Bununla birlikte, Haziran 2023'te, fidye yazılımı operasyonu, çeşitli sektörlerdeki birçok şirketi hedefleyen ve çifte gasp gerçekleştirerek etkinlikte bir artış gördü.
Şimdiye kadar 8Base, karanlık web gasp sitesinde 35 kurban listeledi ve bazı günler aynı anda altı kurbanı duyurdu.
Bu, grubun aşağıdaki grafikte gösterildiği gibi sadece bir avuç kurbanı listelediği Mart ve Nisan'a kıyasla dikkate değer bir artıştır.
Çetenin veri sızıntısı sitesi Mayıs 2023'te piyasaya sürüldü ve gasp çetesi "dürüst ve basit" pentesters olduğunu iddia etti.
"Dürüst ve basit pentesterleriz. Şirketlere verilerinin iadesi için en sadık koşulları sunuyoruz."
"Bu liste yalnızca çalışanlarının ve müşterilerinin verilerinin gizliliğini ve önemini ihmal eden şirketleri içermektedir."
VMware'in Carbon Black ekibinin yeni bir raporunda, son 8 tabaka saldırılarında görülen taktikler, iyi kurulmuş bir fidye yazılım organizasyonunun, potansiyel olarak fidye evinin yeniden markası olduğunu gösteriyor.
Ransomhouse, şifreleme saldırıları yapmadığını iddia eden, bunun yerine verilerini satmak için fidye yazılımı işlemleriyle ortaklık kuran bir gasp grubudur. Bununla birlikte, BleepingComputer, White Rabbit veya Mario gibi fidye yazılımlarını kullanan tehdit aktörlerinin, siber suç grubu FIN8 ile de bağlantılı olan farkındadır.
VMware şüphelileri 8Base, iki grup tarafından kullanılan özdeş fidye notlarına ve SSS sayfalarının bile kopyalanmış göründüğü ilgili sızıntı alanlarında görülen benzer dil ve içeriğe dayanan Ransomhouse'un bir dalıdır.
Bununla birlikte, 8Base'nin Ransomhouse üyeleri veya sadece tehdit aktörleri arasında görülmesi gereken nadir olmayan şablonları kopyalayan başka bir fidye yazılımı operasyonu tarafından üretilip verilmediğini belirlemek için yeterli kanıt yoktur.
Teknik açıdan 8Base, Smokeloader aracılığıyla yüklenen Phobos v2.9.1 fidye yazılımının özelleştirilmiş bir versiyonunu kullanır.
Phobos, ilk olarak 2019'da ortaya çıkan ve Dharma Fidye Yazılımı operasyonu ile birçok kod benzerliği paylaşan Windows hedefli bir RAAS operasyonudur.
Dosyaları şifrelerken, fidye yazılımı son saldırılarda .8Base uzantısını ekleyecektir. Ancak, fidye yazılımı uzmanı Michael Gillespie, BleepingComputer'a ID fidye yazılımındaki Phobos fidye yazılımı gönderimlerinin, eski saldırılarda.
BleepingComputer, hem .8Base uzantısını hem de daha eski.
VMware'in analistleri tarafından dikkate değer bir diğer bulgu, 8Base'nin, birkaç fidye yazılım grubu tarafından kullanılan bir proxy kötü amaçlı yazılım olan SystemBC ile ilişkili olan yük yükü barındırma için "Admlogs25 [.] XYZ" alanını kullanmasıdır.
Bu bulgular, 8Base operatörlerinin en az bir yıldır şifreleme saldırıları yürüttüğünü, ancak veri sızıntı sitesini başlattıktan sonra sadece kendileri için bir isim yaptığını göstermektedir.
8Base şimdi analistlerden dikkat çekmeye başlıyor, teknik doğasının birçok yönü bilinmiyor veya belirsiz.
VMware'in raporu, savunucuların sistemlerini bu yükselen tehditten korumak için kullanabileceği uzlaşma göstergeleri (IOC'ler) içerir.
Manchester Üniversitesi son siber saldırıda veri hırsızlığını onayladı
Hackers Warn Manchester Üniversitesi Öğrencileri Yakın Veri Sızıntısı
Iowa’nın en büyük okul bölgesi fidye yazılımı saldırısı, veri hırsızlığı
Clop fidye yazılımı muhtemelen 2021'den beri hareket sıfır gününü test ediyor
Clop Fidye Yazılımı, Moveit Fasar Saldırıları için Sorumluluk İddia ediyor
Kaynak: Bleeping Computer