2023年5月和6月，勒索軟件活動(dòng)的大規(guī)模激增歸因于一個(gè)相對(duì)不知名的勒索軟件組織8Base。

研究人員稱，“雖然8Base勒索軟件組織不一定是一個(gè)新組織，但他們最近活動(dòng)的激增吸引了廣泛關(guān)注。甚至在過去的30天里，它已成功問鼎Top2勒索組織之列。關(guān)于8Base使用的勒索軟件類型，公眾所知不多，只知道它的贖金通知，以及它以‘.8base’擴(kuò)展名附加加密文件?！?/p>

(資料圖片)

該組織利用加密與“點(diǎn)名羞辱”技術(shù)相結(jié)合，迫使受害者支付贖金。VMware表示，8Base最近對(duì)不同行業(yè)的受害者采取了機(jī)會(huì)主義的妥協(xié)模式。

據(jù)了解，8Base是一個(gè)勒索軟件組織，自2022年3月以來一直活躍。該組織將自身描述為“誠實(shí)而簡單的滲透測試者”。他們的泄密網(wǎng)站通過常見問題和規(guī)則部分提供了受害者的詳細(xì)信息，以及多種聯(lián)系該組織的方式。

截至2023年5月，該組織已關(guān)聯(lián)67起攻擊事件，其中約一半的受害者來自商業(yè)服務(wù)、制造業(yè)和建筑業(yè)。根據(jù)Malwarebytes和NCC Group收集的統(tǒng)計(jì)數(shù)據(jù)顯示，大多數(shù)被攻擊的公司位于美國和巴西。

在審查8Base時(shí)，研究人員注意到8Base組織與另一個(gè)名為RansomHouse的組織之間存在顯著的相似之處。

VMware在報(bào)告中表示，“RansomHouse是否是一個(gè)真正的勒索軟件組織還有待商榷;該組織購買已經(jīng)泄露的數(shù)據(jù)，與數(shù)據(jù)泄露網(wǎng)站合作，然后勒索公司錢財(cái)?！?/p>

研究人員比較了兩個(gè)組織的贖金通知，發(fā)現(xiàn)在語言組織方面存在99%的一致性。此外，兩個(gè)組織泄密網(wǎng)站的語言也是相同的。

VMware表示，“這些措辭可以說是逐字逐句地從RansomHouse的歡迎頁面復(fù)制到了8Base的歡迎頁面。這兩個(gè)組織之間唯一的兩個(gè)主要區(qū)別是，RansomHouse會(huì)宣傳其合作伙伴關(guān)系，并公開招募合作伙伴，而8Base則不會(huì)。鑒于兩者之間的相似性，我們提出了一個(gè)問題，即8Base是否可能是RansomHouse的衍生品或模仿者。RansomHouse以使用黑市上各種各樣的勒索軟件而聞名，并且沒有自己的簽名勒索軟件作為比較的基礎(chǔ)。有趣的是，在研究8Base時(shí)，我們也沒能找到一個(gè)勒索軟件變種?！?/p>與Phobos勒索軟件相似

在搜索8Base組織使用的勒索軟件樣本時(shí)，研究人員發(fā)現(xiàn)了類似于Phobos樣本的屬性。將Phobos和8Base的樣本進(jìn)行比較后發(fā)現(xiàn)，8Base使用的是裝載了SmokeLoader的Phobos 2.9.1版本。

Phobos勒索軟件以勒索軟件即服務(wù)(RaaS)的形式提供。其他威脅行為者可以根據(jù)他們的需求定制部件，如8Base勒索通知所示。

VMware表示，“盡管這兩個(gè)組織的勒索信息很相似，但關(guān)鍵的區(qū)別在于Phobos勒索軟件的上下部分有Jabber指令和‘Phobos’，而8Base勒索軟件的上角有‘cartilage’，背景是紫色的，且沒有Jabber指令。”

最后，VMware警告稱，“考慮到8Base這頭‘野獸’的性質(zhì)，我們目前只能推測，他們正在使用多種不同類型的勒索軟件——要么是早期的變種，要么是正常操作程序的一部分。我們所知道的是，這個(gè)群體非?；钴S，目標(biāo)是小型企業(yè)?！?/p>

關(guān)鍵詞：