8BASE
Con su hábil uso de tácticas de doble extorsión y un repertorio que incluye variantes modificadas de ransomware conocido como Phobos, 8Base ha orquestado importantes incidentes cibernéticos, afectando a numerosas organizaciones en todo el mundo con sus estrategias implacables y en constante evolución.
El origen de 8Base
Surgido en marzo de 2022, el grupo de ransomware 8Base permaneció inicialmente relativamente tranquilo tras sus primeros ataques. Sin embargo, a mediados de mayo y junio de 2023, experimentó un aumento significativo de su actividad, atacando a organizaciones de diversos sectores y registrando 131 víctimas en solo tres meses. 8Base se distingue por el empleo de tácticas de doble extorsión, un método que ha ganado adeptos entre los ciberdelincuentes por su eficacia a la hora de ejercer presión sobre las víctimas. En marzo de 2023 lanzaron su sitio de filtración de datos, promoviendo una imagen de honestidad y sencillez en sus comunicaciones.
El origen y el espectro completo de las actividades, metodologías y motivaciones del grupo permanecen en gran medida rodeados de misterio. Curiosamente, 8Base no ha desarrollado su propio ransomware. En su lugar, los investigadores descubrieron que el grupo utilizaba creadores de ransomware filtrados -como la variante Phobos, que modificaron para añadir ".8base" a los archivos cifrados- para personalizar las notas de rescate y presentar los ataques como una operación propia. VMware publicó un informe en el que se establecían similitudes entre 8Base y el grupo de ransomware RansomHouse, destacando parecidos en sus sitios web y notas de rescate. En algunos círculos de ciberseguridad prevalece la creencia de que la infraestructura de 8Base se desarrolló utilizando el constructor Babuk -un conjunto de herramientas filtrado de otra conocida operación de ransomware-, mientras que otros piensan que es una rama de RansomHouse.
En febrero de 2025, una importante operación policial internacional condujo a la detención de cuatro ciudadanos rusos implicados en el grupo 8Base. La operación, dirigida también contra el ransomware Phobos, se saldó con la incautación de 27 servidores vinculados a su red. Esta acción sigue una tendencia creciente de esfuerzos coordinados por parte de las autoridades mundiales para desbaratar las operaciones de ransomware, en las que Europol desempeña un papel fundamental a la hora de facilitar el intercambio de información y la cooperación transfronteriza.
Países destinatarios de 8Base
8base se dirigía principalmente a empresas con sede en Estados Unidos, Brasil y el Reino Unido.
Industrias a las que se dirige 8Base
8Base centró sus ataques principalmente en pequeñas y medianas empresas (pymes) de diversos sectores.
El grupo mostró un interés especial en sectores como los servicios empresariales, las finanzas, la fabricación y las tecnologías de la información.
Este objetivo específico podría deberse a la creencia de que las empresas de estos sectores tienen más probabilidades de permitirse el pago de rescates sustanciales, o tal vez porque los datos que poseen se consideran más sensibles o valiosos.
Fuente: SOCRadar
Víctimas de 8Base
Método de ataque de 8Base
Los hackers de 8Base solían iniciar sus ataques mediante phishing para distribuir cargas ocultas o utilizando herramientas como Angry IP Scanner para identificar y explotar puertos vulnerables del Protocolo de Escritorio Remoto (RDP).
Emplearon ataques de fuerza bruta para acceder a servicios RDP expuestos, y posteriormente llevaron a cabo investigaciones para perfilar a sus víctimas y establecer conexiones con las direcciones IP objetivo.
8Base avanzó en su control sobre los sistemas comprometidos mediante la suplantación y el robo de tokens.
Esta técnica consiste en manipular tokens del sistema con la función DuplicateToken(), lo que permite a los atacantes elevar sus privilegios discretamente.
Este paso crítico garantizó que pudieran acceder a áreas más sensibles del sistema sin ser detectados de inmediato.
Para mantener el sigilo y evitar ser detectado por las defensas de seguridad, 8Base empleó un par de estrategias clave.
Terminaron una serie de procesos, centrándose tanto en aplicaciones de uso común, como MS Office, como en software de seguridad, con el fin de crear un entorno más vulnerable para sus actividades maliciosas.
Además, utilizaron software de empaquetado para ocultar archivos maliciosos, concretamente empaquetando el ransomware Phobos en la memoria, lo que dificultaba que las herramientas de seguridad identificaran y bloquearan el malware.
En la fase de descubrimiento, 8Base llevó a cabo el descubrimiento de recursos compartidos de red utilizando la función WNetEnumResource() para rastrear metódicamente los recursos de red.
Esto les permitió identificar objetivos valiosos y comprender la estructura de la red, lo que facilitó un movimiento lateral y una recopilación de datos más eficaces.
La fase de impacto es aquella en la que las acciones de 8Base culminaron en una perturbación significativa para la víctima.
Ejecutaron comandos que inhiben la recuperación del sistema, incluyendo la eliminación de copias de seguridad, catálogos de respaldo y la modificación de configuraciones de arranque para impedir la reparación del sistema.
Estas acciones, combinadas con el uso del cifrado AES para bloquear archivos, no solo dificultaron la recuperación de datos, sino que también aumentaron la presión sobre las víctimas para que cumplieran con las demandas de rescate.
Esta fase demostró la capacidad de 8Base no solo para violar y navegar por los sistemas, sino también para dejar un impacto duradero en las organizaciones afectadas.
Los hackers de 8Base solían iniciar sus ataques mediante phishing para distribuir cargas ocultas o utilizando herramientas como Angry IP Scanner para identificar y explotar puertos vulnerables del Protocolo de Escritorio Remoto (RDP).
Emplearon ataques de fuerza bruta para acceder a servicios RDP expuestos, y posteriormente llevaron a cabo investigaciones para perfilar a sus víctimas y establecer conexiones con las direcciones IP objetivo.
8Base avanzó en su control sobre los sistemas comprometidos mediante la suplantación y el robo de tokens.
Esta técnica consiste en manipular tokens del sistema con la función DuplicateToken(), lo que permite a los atacantes elevar sus privilegios discretamente.
Este paso crítico garantizó que pudieran acceder a áreas más sensibles del sistema sin ser detectados de inmediato.
Para mantener el sigilo y evitar ser detectado por las defensas de seguridad, 8Base empleó un par de estrategias clave.
Terminaron una serie de procesos, centrándose tanto en aplicaciones de uso común, como MS Office, como en software de seguridad, con el fin de crear un entorno más vulnerable para sus actividades maliciosas.
Además, utilizaron software de empaquetado para ocultar archivos maliciosos, concretamente empaquetando el ransomware Phobos en la memoria, lo que dificultaba que las herramientas de seguridad identificaran y bloquearan el malware.
En la fase de descubrimiento, 8Base llevó a cabo el descubrimiento de recursos compartidos de red utilizando la función WNetEnumResource() para rastrear metódicamente los recursos de red.
Esto les permitió identificar objetivos valiosos y comprender la estructura de la red, lo que facilitó un movimiento lateral y una recopilación de datos más eficaces.
La fase de impacto es aquella en la que las acciones de 8Base culminaron en una perturbación significativa para la víctima.
Ejecutaron comandos que inhiben la recuperación del sistema, incluyendo la eliminación de copias de seguridad, catálogos de respaldo y la modificación de configuraciones de arranque para impedir la reparación del sistema.
Estas acciones, combinadas con el uso del cifrado AES para bloquear archivos, no solo dificultaron la recuperación de datos, sino que también aumentaron la presión sobre las víctimas para que cumplieran con las demandas de rescate.
Esta fase demostró la capacidad de 8Base no solo para violar y navegar por los sistemas, sino también para dejar un impacto duradero en las organizaciones afectadas.
TTPs utilizados por 8Base
Cómo detectar actores maliciosos con Vectra AI
Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque de ransomware.
Preguntas frecuentes
¿Qué es 8Base y cómo funciona?
8Base es un grupo de ransomware conocido por sus agresivas tácticas de extorsión, dirigidas principalmente a pequeñas y medianas empresas de diversos sectores.
Emplea una sofisticada cadena de ataques que incluye escalada de privilegios, evasión de defensas y cifrado de datos para extorsionar a sus víctimas.
¿Cómo consigue 8Base el acceso inicial a las redes?
8Base suele obtener el acceso inicial a través de correos electrónicos de phishing o kits de exploits, y utiliza estos vectores para desplegar su ransomware o ganar puntos de apoyo en los sistemas objetivo.
¿Qué sectores corren más riesgo de sufrir ataques 8Base?
8Base ha mostrado preferencia por atacar a empresas de los sectores de servicios empresariales, finanzas, fabricación y tecnologías de la información, probablemente debido a la naturaleza sensible de sus datos y a su capacidad percibida para pagar rescates más cuantiosos.
¿Qué técnicas utiliza 8Base para la escalada de privilegios?
8Base utiliza la suplantación y el robo de tokens para la escalada de privilegios, manipulando los tokens del sistema para obtener mayores niveles de acceso dentro de los sistemas comprometidos.
¿Cómo elude 8Base los mecanismos de detección y defensa?
8Base emplea técnicas como la terminación de procesos relacionados con la seguridad y la ofuscación de archivos maliciosos mediante el empaquetado de software para eludir la detección por parte de las herramientas de seguridad tradicionales.
¿Cómo pueden las organizaciones detectar y responder a las intrusiones 8Base?
Las organizaciones pueden mejorar sus capacidades de detección y respuesta implementando una plataforma de detección de amenazas basada en IA que proporcione análisis y detección en tiempo real de las actividades de ransomware características de grupos como 8Base.
¿Qué impacto tiene 8Base en las organizaciones comprometidas?
El impacto de 8Base incluye el cifrado de archivos confidenciales, la inhibición de los esfuerzos de recuperación del sistema y la posible exfiltración de datos, lo que provoca interrupciones operativas, pérdidas financieras y daños a la reputación.
¿Cuáles son las medidas preventivas eficaces contra los ataques del ransomware 8Base?
Entre las medidas eficaces figuran las copias de seguridad periódicas de los datos, la formación de los empleados en phishing , la aplicación oportuna de parches a las vulnerabilidades y el despliegue de soluciones de seguridad avanzadas capaces de detectar y mitigar las actividades de ransomware.
¿Puede vincularse 8Base a otros grupos o actividades de ransomware?
Se especula con la posibilidad de que 8Base tenga vínculos con otros grupos de ransomware, como RansomHouse, o haya evolucionado a partir de ellos, basándose en las similitudes de sus tácticas operativas y estilos de comunicación verbal.
¿Qué herramientas o estrategias pueden utilizar los profesionales de la ciberseguridad para investigar los incidentes de 8Base?
Los profesionales de la ciberseguridad pueden aprovechar las herramientas de análisis forense, las plataformas de inteligencia sobre amenazas y las soluciones de seguridad basadas en IA para investigar incidentes, descubrir vectores de ataque e identificar indicadores de compromiso (IOC) relacionados con las actividades de 8Base.