8base
Con su hábil uso de tácticas de doble extorsión y un repertorio que incluye variantes modificadas de ransomware conocido como Phobos, 8Base ha orquestado importantes incidentes cibernéticos, afectando a numerosas organizaciones de todo el mundo con sus implacables y cambiantes estrategias.
El origen de 8Base
Aparecido en abril de 2022, 8Base se distingue por el empleo de tácticas de doble extorsión, un método que ha ganado adeptos entre los ciberdelincuentes por su eficacia a la hora de ejercer presión sobre las víctimas.
El origen y el espectro completo de las actividades, metodologías y motivaciones del grupo permanecen en gran medida envueltos en el misterio.
Los investigadores descubrieron que el grupo utilizaba la variante del ransomware Phobos, que modificaron para añadir '.8base' a los archivos cifrados. En algunos círculos de ciberseguridad prevalece la creencia de que la infraestructura de 8Base se desarrolló utilizando el conjunto de herramientas Babuk builder,filtrado de otra famosa operación de ransomware.
Otros creen que es una rama de RansomHouse.
Objetivos
Objetivos de 8Base
Países destinatarios de 8Base
8base se dirigía principalmente a empresas con sede en Estados Unidos, Brasil y el Reino Unido.
Fuente: SOCRadar
Industrias a las que se dirige 8Base
8Base centra sus ataques principalmente en las pequeñas y medianas empresas (PYME) de diversos sectores.
El grupo muestra especial interés por sectores como los servicios a las empresas, las finanzas, la industria manufacturera y las tecnologías de la información.
Este objetivo específico podría deberse a la creencia de que las empresas de estos sectores tienen más probabilidades de permitirse el pago de rescates sustanciales, o tal vez porque los datos que poseen se consideran más sensibles o valiosos.
Fuente: SOCRadar
Industrias a las que se dirige 8Base
8Base centra sus ataques principalmente en las pequeñas y medianas empresas (PYME) de diversos sectores.
El grupo muestra especial interés por sectores como los servicios a las empresas, las finanzas, la industria manufacturera y las tecnologías de la información.
Este objetivo específico podría deberse a la creencia de que las empresas de estos sectores tienen más probabilidades de permitirse el pago de rescates sustanciales, o tal vez porque los datos que poseen se consideran más sensibles o valiosos.
Fuente: SOCRadar
Víctimas de 8Base
Hasta la fecha, más de 356 víctimas han sido presa de las operaciones maliciosas de 8Base.
Fuente: Ransomware.live
Método de ataque
Método de ataque de 8Base
Los hackers de 8Base suelen iniciar sus ataques desplegando campañas enphishing para entregar cargas útiles ocultas o utilizando herramientas como Angry IP Scanner para identificar y explotar puertos vulnerables del protocolo de escritorio remoto (RDP).
Emplean ataques de fuerza bruta para acceder a los servicios RDP expuestos, realizando posteriormente investigaciones para perfilar a sus víctimas y establecer conexiones con las IP objetivo.
8Base avanza en su control sobre los sistemas comprometidos ejecutando la suplantación y el robo de tokens.
Esta técnica consiste en manipular tokens del sistema con la función DuplicateToken(), lo que permite a los atacantes elevar sus privilegios discretamente.
Este paso fundamental garantiza que puedan acceder a zonas más sensibles del sistema sin ser detectados de inmediato.
Para mantener el sigilo y evitar ser detectado por las defensas de seguridad, 8Base emplea un par de estrategias clave.
Terminan una variedad de procesos, apuntando tanto a aplicaciones de uso común, como MS Office, como al software de seguridad, para crear un entorno más vulnerable para sus actividades maliciosas.
Además, utilizan el empaquetado de software para ofuscar los archivos maliciosos, concretamente empaquetando el ransomware Phobos en la memoria, lo que dificulta que las herramientas de seguridad identifiquen y bloqueen el malware.
En la fase de descubrimiento, 8Base lleva a cabo el descubrimiento de recursos compartidos de red utilizando la función WNetEnumResource() para rastrear metódicamente los recursos de red.
Esto les permite identificar objetivos valiosos y comprender la estructura de la red, facilitando un movimiento lateral y una recopilación de datos más eficaces.
La fase de impacto es aquella en la que las acciones de 8Base culminan en un trastorno significativo para la víctima.
Ejecutan comandos que impiden la recuperación del sistema, como la eliminación de instantáneas, catálogos de copias de seguridad y la modificación de las configuraciones de arranque para impedir la reparación del sistema.
Estas acciones, combinadas con el uso del cifrado AES para bloquear los archivos, no sólo dificultan la recuperación de los datos, sino que también aumentan la presión sobre las víctimas para que cumplan las peticiones de rescate.
Esta fase demuestra la capacidad de 8Base no sólo para violar y navegar por los sistemas, sino también para dejar un impacto duradero en las organizaciones afectadas.
Acceso inicial
Los hackers de 8Base suelen iniciar sus ataques desplegando campañas enphishing para entregar cargas útiles ocultas o utilizando herramientas como Angry IP Scanner para identificar y explotar puertos vulnerables del protocolo de escritorio remoto (RDP).
Emplean ataques de fuerza bruta para acceder a los servicios RDP expuestos, realizando posteriormente investigaciones para perfilar a sus víctimas y establecer conexiones con las IP objetivo.
Escalada de privilegios
8Base avanza en su control sobre los sistemas comprometidos ejecutando la suplantación y el robo de tokens.
Esta técnica consiste en manipular tokens del sistema con la función DuplicateToken(), lo que permite a los atacantes elevar sus privilegios discretamente.
Este paso fundamental garantiza que puedan acceder a zonas más sensibles del sistema sin ser detectados de inmediato.
Defensa Evasión
Para mantener el sigilo y evitar ser detectado por las defensas de seguridad, 8Base emplea un par de estrategias clave.
Terminan una variedad de procesos, apuntando tanto a aplicaciones de uso común, como MS Office, como al software de seguridad, para crear un entorno más vulnerable para sus actividades maliciosas.
Además, utilizan el empaquetado de software para ofuscar los archivos maliciosos, concretamente empaquetando el ransomware Phobos en la memoria, lo que dificulta que las herramientas de seguridad identifiquen y bloqueen el malware.
Acceso con credenciales
Descubrimiento
En la fase de descubrimiento, 8Base lleva a cabo el descubrimiento de recursos compartidos de red utilizando la función WNetEnumResource() para rastrear metódicamente los recursos de red.
Esto les permite identificar objetivos valiosos y comprender la estructura de la red, facilitando un movimiento lateral y una recopilación de datos más eficaces.
Movimiento lateral
Colección
Ejecución
Exfiltración
Impacto
La fase de impacto es aquella en la que las acciones de 8Base culminan en un trastorno significativo para la víctima.
Ejecutan comandos que impiden la recuperación del sistema, como la eliminación de instantáneas, catálogos de copias de seguridad y la modificación de las configuraciones de arranque para impedir la reparación del sistema.
Estas acciones, combinadas con el uso del cifrado AES para bloquear los archivos, no sólo dificultan la recuperación de los datos, sino que también aumentan la presión sobre las víctimas para que cumplan las peticiones de rescate.
Esta fase demuestra la capacidad de 8Base no sólo para violar y navegar por los sistemas, sino también para dejar un impacto duradero en las organizaciones afectadas.
MITRE ATT&CK Cartografía
TTPs utilizados por 8Base
TA0001: Initial Access
T1566
Phishing
T1133
External Remote Services
TA0002: Execution
T1129
Shared Modules
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1497
Virtualization/Sandbox Evasion
T1222
File and Directory Permissions Modification
T1202
Indirect Command Execution
T1112
Modify Registry
T1036
Masquerading
T1070
Indicator Removal
T1564
Hide Artifacts
T1562
Impair Defenses
TA0006: Credential Access
T1056
Input Capture
T1003
OS Credential Dumping
TA0007: Discovery
T1497
Virtualization/Sandbox Evasion
T1518
Software Discovery
T1083
File and Directory Discovery
T1082
System Information Discovery
T1057
Process Discovery
TA0008: Lateral Movement
T1080
Taint Shared Content
TA0009: Collection
T1560
Archive Collected Data
T1074
Data Staged
T1005
Data from Local System
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1490
Inhibit System Recovery
T1485
Data Destruction
Detección de plataformas
Cómo detectar 8Base con Vectra AI
Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque de ransomware.
Preguntas frecuentes
¿Qué es 8Base y cómo funciona?
8Base es un grupo de ransomware conocido por sus agresivas tácticas de extorsión, dirigidas principalmente a pequeñas y medianas empresas de diversos sectores.
Emplea una sofisticada cadena de ataques que incluye escalada de privilegios, evasión de defensas y cifrado de datos para extorsionar a sus víctimas.
¿Cómo consigue 8Base el acceso inicial a las redes?
8Base suele obtener el acceso inicial a través de correos electrónicos de phishing o kits de exploits, y utiliza estos vectores para desplegar su ransomware o ganar puntos de apoyo en los sistemas objetivo.
¿Qué sectores corren más riesgo de sufrir ataques 8Base?
8Base ha mostrado preferencia por atacar a empresas de los sectores de servicios empresariales, finanzas, fabricación y tecnologías de la información, probablemente debido a la naturaleza sensible de sus datos y a su capacidad percibida para pagar rescates más cuantiosos.
¿Qué técnicas utiliza 8Base para la escalada de privilegios?
8Base utiliza la suplantación y el robo de tokens para la escalada de privilegios, manipulando los tokens del sistema para obtener mayores niveles de acceso dentro de los sistemas comprometidos.
¿Cómo elude 8Base los mecanismos de detección y defensa?
8Base emplea técnicas como la terminación de procesos relacionados con la seguridad y la ofuscación de archivos maliciosos mediante el empaquetado de software para eludir la detección por parte de las herramientas de seguridad tradicionales.
¿Cómo pueden las organizaciones detectar y responder a las intrusiones 8Base?
Las organizaciones pueden mejorar sus capacidades de detección y respuesta implementando una plataforma de detección de amenazas basada en IA que proporcione análisis y detección en tiempo real de las actividades de ransomware características de grupos como 8Base.
¿Qué impacto tiene 8Base en las organizaciones comprometidas?
El impacto de 8Base incluye el cifrado de archivos confidenciales, la inhibición de los esfuerzos de recuperación del sistema y la posible exfiltración de datos, lo que provoca interrupciones operativas, pérdidas financieras y daños a la reputación.
¿Cuáles son las medidas preventivas eficaces contra los ataques del ransomware 8Base?
Entre las medidas eficaces figuran las copias de seguridad periódicas de los datos, la formación de los empleados en phishing , la aplicación oportuna de parches a las vulnerabilidades y el despliegue de soluciones de seguridad avanzadas capaces de detectar y mitigar las actividades de ransomware.
¿Puede vincularse 8Base a otros grupos o actividades de ransomware?
Se especula con la posibilidad de que 8Base tenga vínculos con otros grupos de ransomware, como RansomHouse, o haya evolucionado a partir de ellos, basándose en las similitudes de sus tácticas operativas y estilos de comunicación verbal.
¿Qué herramientas o estrategias pueden utilizar los profesionales de la ciberseguridad para investigar los incidentes de 8Base?
Los profesionales de la ciberseguridad pueden aprovechar las herramientas de análisis forense, las plataformas de inteligencia sobre amenazas y las soluciones de seguridad basadas en IA para investigar incidentes, descubrir vectores de ataque e identificar indicadores de compromiso (IOC) relacionados con las actividades de 8Base.