8base

Con su hábil uso de tácticas de doble extorsión y un repertorio que incluye variantes modificadas de ransomware conocido como Phobos, 8Base ha orquestado importantes incidentes cibernéticos, afectando a numerosas organizaciones de todo el mundo con sus implacables y cambiantes estrategias.

Detectar TTPs de 8Base

Fondo

El origen de 8Base

Surgido en marzo de 2022, el grupo de ransomware 8Base permaneció inicialmente relativamente tranquilo tras sus primeros ataques. Sin embargo, a mediados de mayo y junio de 2023, experimentó un aumento significativo de su actividad, atacando a organizaciones de diversos sectores y registrando 131 víctimas en solo tres meses. 8Base se distingue por el empleo de tácticas de doble extorsión, un método que ha ganado adeptos entre los ciberdelincuentes por su eficacia a la hora de ejercer presión sobre las víctimas. En marzo de 2023 lanzaron su sitio de filtración de datos, promoviendo una imagen de honestidad y sencillez en sus comunicaciones.

El origen y el espectro completo de las actividades, metodologías y motivaciones del grupo permanecen en gran medida rodeados de misterio. Curiosamente, 8Base no ha desarrollado su propio ransomware. En su lugar, los investigadores descubrieron que el grupo utilizaba creadores de ransomware filtrados -como la variante Phobos, que modificaron para añadir ".8base" a los archivos cifrados- para personalizar las notas de rescate y presentar los ataques como una operación propia. VMware publicó un informe en el que se establecían similitudes entre 8Base y el grupo de ransomware RansomHouse, destacando parecidos en sus sitios web y notas de rescate. En algunos círculos de ciberseguridad prevalece la creencia de que la infraestructura de 8Base se desarrolló utilizando el constructor Babuk -un conjunto de herramientas filtrado de otra conocida operación de ransomware-, mientras que otros piensan que es una rama de RansomHouse.

Objetivos

Objetivos de 8Base

Países destinatarios de 8Base

8base se dirigía principalmente a empresas con sede en Estados Unidos, Brasil y el Reino Unido.

^Fuente:^{Ransomware.live}

Industrias a las que se dirige 8Base

8Base centra sus ataques principalmente en las pequeñas y medianas empresas (PYME) de diversos sectores.

El grupo muestra especial interés por sectores como los servicios a las empresas, las finanzas, la industria manufacturera y las tecnologías de la información.

Este objetivo específico podría deberse a la creencia de que las empresas de estos sectores tienen más probabilidades de permitirse el pago de rescates sustanciales, o tal vez porque los datos que poseen se consideran más sensibles o valiosos.

^Fuente:^SOCRadar

Industrias a las que se dirige 8Base

8Base centra sus ataques principalmente en las pequeñas y medianas empresas (PYME) de diversos sectores.

El grupo muestra especial interés por sectores como los servicios a las empresas, las finanzas, la industria manufacturera y las tecnologías de la información.

^Fuente:^SOCRadar

Víctimas de 8Base

Hasta la fecha, más de 356 víctimas han sido presa de las operaciones maliciosas de 8Base.

^Fuente:^{Ransomware.live}

Método de ataque

Método de ataque de 8Base

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

Los hackers de 8Base suelen iniciar sus ataques desplegando campañas enphishing para entregar cargas útiles ocultas o utilizando herramientas como Angry IP Scanner para identificar y explotar puertos vulnerables del protocolo de escritorio remoto (RDP).

Emplean ataques de fuerza bruta para acceder a los servicios RDP expuestos, realizando posteriormente investigaciones para perfilar a sus víctimas y establecer conexiones con las IP objetivo.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

8Base avanza en su control sobre los sistemas comprometidos ejecutando la suplantación y el robo de tokens.

Esta técnica consiste en manipular tokens del sistema con la función DuplicateToken(), lo que permite a los atacantes elevar sus privilegios discretamente.

Este paso fundamental garantiza que puedan acceder a zonas más sensibles del sistema sin ser detectados de inmediato.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

Para mantener el sigilo y evitar ser detectado por las defensas de seguridad, 8Base emplea un par de estrategias clave.

Terminan una variedad de procesos, apuntando tanto a aplicaciones de uso común, como MS Office, como al software de seguridad, para crear un entorno más vulnerable para sus actividades maliciosas.

Además, utilizan el empaquetado de software para ofuscar los archivos maliciosos, concretamente empaquetando el ransomware Phobos en la memoria, lo que dificulta que las herramientas de seguridad identifiquen y bloqueen el malware.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

En la fase de descubrimiento, 8Base lleva a cabo el descubrimiento de recursos compartidos de red utilizando la función WNetEnumResource() para rastrear metódicamente los recursos de red.

Esto les permite identificar objetivos valiosos y comprender la estructura de la red, facilitando un movimiento lateral y una recopilación de datos más eficaces.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

La fase de impacto es aquella en la que las acciones de 8Base culminan en un trastorno significativo para la víctima.

Ejecutan comandos que impiden la recuperación del sistema, como la eliminación de instantáneas, catálogos de copias de seguridad y la modificación de las configuraciones de arranque para impedir la reparación del sistema.

Estas acciones, combinadas con el uso del cifrado AES para bloquear los archivos, no sólo dificultan la recuperación de los datos, sino que también aumentan la presión sobre las víctimas para que cumplan las peticiones de rescate.

Esta fase demuestra la capacidad de 8Base no sólo para violar y navegar por los sistemas, sino también para dejar un impacto duradero en las organizaciones afectadas.

Acceso inicial

Emplean ataques de fuerza bruta para acceder a los servicios RDP expuestos, realizando posteriormente investigaciones para perfilar a sus víctimas y establecer conexiones con las IP objetivo.

Escalada de privilegios

8Base avanza en su control sobre los sistemas comprometidos ejecutando la suplantación y el robo de tokens.

Esta técnica consiste en manipular tokens del sistema con la función DuplicateToken(), lo que permite a los atacantes elevar sus privilegios discretamente.

Este paso fundamental garantiza que puedan acceder a zonas más sensibles del sistema sin ser detectados de inmediato.

Defensa Evasión

Para mantener el sigilo y evitar ser detectado por las defensas de seguridad, 8Base emplea un par de estrategias clave.

Terminan una variedad de procesos, apuntando tanto a aplicaciones de uso común, como MS Office, como al software de seguridad, para crear un entorno más vulnerable para sus actividades maliciosas.

Acceso con credenciales

Descubrimiento

En la fase de descubrimiento, 8Base lleva a cabo el descubrimiento de recursos compartidos de red utilizando la función WNetEnumResource() para rastrear metódicamente los recursos de red.

Esto les permite identificar objetivos valiosos y comprender la estructura de la red, facilitando un movimiento lateral y una recopilación de datos más eficaces.

Movimiento lateral

Colección

Ejecución

Exfiltración

Impacto

La fase de impacto es aquella en la que las acciones de 8Base culminan en un trastorno significativo para la víctima.

Esta fase demuestra la capacidad de 8Base no sólo para violar y navegar por los sistemas, sino también para dejar un impacto duradero en las organizaciones afectadas.

MITRE ATT&CK Cartografía

TTPs utilizados por 8Base

TA0001: Initial Access

T1566

Phishing

T1133

External Remote Services

TA0002: Execution

T1129

Shared Modules

T1059

Command and Scripting Interpreter

TA0003: Persistence

T1547

Boot or Logon Autostart Execution

T1053

Scheduled Task/Job

TA0004: Privilege Escalation

T1547

Boot or Logon Autostart Execution

T1053

Scheduled Task/Job

TA0005: Defense Evasion

T1497

Virtualization/Sandbox Evasion

T1222

File and Directory Permissions Modification

T1202

Indirect Command Execution

T1112

Modify Registry

T1036

Masquerading

T1070

Indicator Removal

T1564

Hide Artifacts

T1562

Impair Defenses

TA0006: Credential Access

T1056

Input Capture

T1003

OS Credential Dumping

TA0007: Discovery

T1497

Virtualization/Sandbox Evasion

T1518

Software Discovery

T1083

File and Directory Discovery

T1082

System Information Discovery

T1057

Process Discovery

TA0008: Lateral Movement

T1080

Taint Shared Content

TA0009: Collection

T1560

Archive Collected Data

T1074

Data Staged

T1005

Data from Local System

TA0011: Command and Control

T1071

Application Layer Protocol

TA0010: Exfiltration

T1041

Exfiltration Over C2 Channel

TA0040: Impact

T1490

Inhibit System Recovery

T1485

Data Destruction

Detección de plataformas

Cómo detectar 8Base con Vectra AI

Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque de ransomware.

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

Ver más detecciones

Evalúe su exposición a los ataques

Preguntas frecuentes

¿Qué es 8Base y cómo funciona?

8Base es un grupo de ransomware conocido por sus agresivas tácticas de extorsión, dirigidas principalmente a pequeñas y medianas empresas de diversos sectores.

Emplea una sofisticada cadena de ataques que incluye escalada de privilegios, evasión de defensas y cifrado de datos para extorsionar a sus víctimas.

¿Cómo consigue 8Base el acceso inicial a las redes?

8Base suele obtener el acceso inicial a través de correos electrónicos de phishing o kits de exploits, y utiliza estos vectores para desplegar su ransomware o ganar puntos de apoyo en los sistemas objetivo.

¿Qué sectores corren más riesgo de sufrir ataques 8Base?

8Base ha mostrado preferencia por atacar a empresas de los sectores de servicios empresariales, finanzas, fabricación y tecnologías de la información, probablemente debido a la naturaleza sensible de sus datos y a su capacidad percibida para pagar rescates más cuantiosos.

¿Qué técnicas utiliza 8Base para la escalada de privilegios?

8Base utiliza la suplantación y el robo de tokens para la escalada de privilegios, manipulando los tokens del sistema para obtener mayores niveles de acceso dentro de los sistemas comprometidos.

¿Cómo elude 8Base los mecanismos de detección y defensa?

8Base emplea técnicas como la terminación de procesos relacionados con la seguridad y la ofuscación de archivos maliciosos mediante el empaquetado de software para eludir la detección por parte de las herramientas de seguridad tradicionales.

‍

¿Cómo pueden las organizaciones detectar y responder a las intrusiones 8Base?

Las organizaciones pueden mejorar sus capacidades de detección y respuesta implementando una plataforma de detección de amenazas basada en IA que proporcione análisis y detección en tiempo real de las actividades de ransomware características de grupos como 8Base.

¿Qué impacto tiene 8Base en las organizaciones comprometidas?

El impacto de 8Base incluye el cifrado de archivos confidenciales, la inhibición de los esfuerzos de recuperación del sistema y la posible exfiltración de datos, lo que provoca interrupciones operativas, pérdidas financieras y daños a la reputación.

¿Cuáles son las medidas preventivas eficaces contra los ataques del ransomware 8Base?

Entre las medidas eficaces figuran las copias de seguridad periódicas de los datos, la formación de los empleados en phishing , la aplicación oportuna de parches a las vulnerabilidades y el despliegue de soluciones de seguridad avanzadas capaces de detectar y mitigar las actividades de ransomware.

¿Puede vincularse 8Base a otros grupos o actividades de ransomware?

Se especula con la posibilidad de que 8Base tenga vínculos con otros grupos de ransomware, como RansomHouse, o haya evolucionado a partir de ellos, basándose en las similitudes de sus tácticas operativas y estilos de comunicación verbal.

¿Qué herramientas o estrategias pueden utilizar los profesionales de la ciberseguridad para investigar los incidentes de 8Base?

Los profesionales de la ciberseguridad pueden aprovechar las herramientas de análisis forense, las plataformas de inteligencia sobre amenazas y las soluciones de seguridad basadas en IA para investigar incidentes, descubrir vectores de ataque e identificar indicadores de compromiso (IOC) relacionados con las actividades de 8Base.

8base

El origen de 8Base

Objetivos de 8Base

Países destinatarios de 8Base

Industrias a las que se dirige 8Base

Industrias a las que se dirige 8Base

Víctimas de 8Base

Método de ataque de 8Base

TTPs utilizados por 8Base

Cómo detectar 8Base con Vectra AI

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

Preguntas frecuentes

¿Qué es 8Base y cómo funciona?

¿Cómo consigue 8Base el acceso inicial a las redes?

¿Qué sectores corren más riesgo de sufrir ataques 8Base?

¿Qué técnicas utiliza 8Base para la escalada de privilegios?

¿Cómo elude 8Base los mecanismos de detección y defensa?

¿Cómo pueden las organizaciones detectar y responder a las intrusiones 8Base?

¿Qué impacto tiene 8Base en las organizaciones comprometidas?

¿Cuáles son las medidas preventivas eficaces contra los ataques del ransomware 8Base?

¿Puede vincularse 8Base a otros grupos o actividades de ransomware?

¿Qué herramientas o estrategias pueden utilizar los profesionales de la ciberseguridad para investigar los incidentes de 8Base?

¿Está su organización a salvo de los ataques del ransomware 8Base?