Вымогатель 8Base, который существует более года, но обычно был практически незаметен, перешел к массовым атакам в мае и июне 2023 года, сообщают эксперты VMware Carbon Black. По информации исследователей, только в июне операторы малвари взломали более 30 малых предприятий.
8Base впервые попал в поле зрения исследователей в марте 2022 года, но после этого оставался практически неактивным. Ситуация изменилась в июне 2023 года, когда активность малвари резко возросла, и злоумышленники атаковали множество компании в самых разных отраслях. В общей сложности на сегодня 8Base скомпрометировала около 80 организаций в таких отраслях, как автомобилестроение, бизнес-услуги, строительство, финансы, здравоохранение, гостиничный бизнес, ИТ, производство и недвижимость.
На данный момент на сайте 8Base в даркнете перечислены 35 жертв, причем в некоторые дни группировка сообщала о взломе до шести компаний за раз. Это делает 8Base одним из самых активных вымогательских вредоносов последних месяцев.
Эксперты VMware Carbon Black полагают, что 8Base – это ребрендинг известной вымогательской группировки RansomHouse, которая ранее брала на себя ответственность за взлом компаний ADATA и AMD.
Исследователи видят связь между этими группами, основываясь на практически идентичных записках с требованием выкупа, а также на сходстве языка и содержимого сайтов хакеров (даже страницы FAQ, похоже, просто скопировали и перенесли с одного сайта на другой).
Основное различие между двумя вымогателями заключается в том, что RansomHouse открыто набирает партнеров, то 8Base — нет.
С технической точки зрения 8Base представляет собой кастомную версию малвари Phobos v2.9.1, которая загружается через SmokeLoader. Phobos — это ориентированная на Windows RaaS-малварь, которая впервые появилась в 2019 году, а ее код схож с вымогателем Dharma. В ходе шифровании вымогатель добавляет расширение .8base к пострадавшим файлам.
Еще одно интереснее открытие аналитиков VMware: 8Base использует домен admlogs25[.]xyz для размещения полезной нагрузки. Этот домен связан с прокси-малварью SystemBC, которую вымогательские группировки используют для обфускации C&C.
8Base впервые попал в поле зрения исследователей в марте 2022 года, но после этого оставался практически неактивным. Ситуация изменилась в июне 2023 года, когда активность малвари резко возросла, и злоумышленники атаковали множество компании в самых разных отраслях. В общей сложности на сегодня 8Base скомпрометировала около 80 организаций в таких отраслях, как автомобилестроение, бизнес-услуги, строительство, финансы, здравоохранение, гостиничный бизнес, ИТ, производство и недвижимость.
На данный момент на сайте 8Base в даркнете перечислены 35 жертв, причем в некоторые дни группировка сообщала о взломе до шести компаний за раз. Это делает 8Base одним из самых активных вымогательских вредоносов последних месяцев.
Эксперты VMware Carbon Black полагают, что 8Base – это ребрендинг известной вымогательской группировки RansomHouse, которая ранее брала на себя ответственность за взлом компаний ADATA и AMD.
Исследователи видят связь между этими группами, основываясь на практически идентичных записках с требованием выкупа, а также на сходстве языка и содержимого сайтов хакеров (даже страницы FAQ, похоже, просто скопировали и перенесли с одного сайта на другой).
Основное различие между двумя вымогателями заключается в том, что RansomHouse открыто набирает партнеров, то 8Base — нет.
С технической точки зрения 8Base представляет собой кастомную версию малвари Phobos v2.9.1, которая загружается через SmokeLoader. Phobos — это ориентированная на Windows RaaS-малварь, которая впервые появилась в 2019 году, а ее код схож с вымогателем Dharma. В ходе шифровании вымогатель добавляет расширение .8base к пострадавшим файлам.
Еще одно интереснее открытие аналитиков VMware: 8Base использует домен admlogs25[.]xyz для размещения полезной нагрузки. Этот домен связан с прокси-малварью SystemBC, которую вымогательские группировки используют для обфускации C&C.
