In einer neuen Analyse widmet sich Trend Micro der Ransomware-Gruppe 8Base. Diese nahm in den ersten Monaten des Jahres 2024 den zweiten Platz auf der Liste der „erfolgreichsten“ Ransomware-Akteure ein – gleich hinter LockBit.
Mit der erfolgreichen Operation internationaler Strafverfolgungsbehörden zu Beginn dieses Jahres gegen Lockbit ist zu erwarten, dass 8Base seine Bedeutung in der Ransomware-Landschaft weiter ausbauen wird. Die 8Base-Gruppe gibt sich in der Außendarstellung zwar als Penetrationstester aus und behauptet auf ihrer Leak-Site, es ausschließlich auf Unternehmen abgesehen zu haben, die „die Privatsphäre und die Bedeutung der Daten ihrer Mitarbeiter und Kunden vernachlässigen“.
8Base stellt sich serös dar und erpresst
Gleichzeitig erpresst sie jedoch ihre Opfer, insbesondere kleine Unternehmen, indem sie eine doppelte Erpressungsstrategie verfolgt. Die Malware verschafft sich in erster Linie über Phishing-Mails Zugang, aber es fanden sich auch Samples auf Domänen, die offenbar mit SystemBC, einem Proxy- und Remote-Admintool (RAT), in Verbindung stehen. Trend Micro hat die Gruppe im Detail analysiert und bietet umfassende Einblicke.
Wichtigsten Erkenntnisse zu 8Base
- Die Ransomware-Gruppe 8Base wurde im März 2022 entdeckt und nutzt eine „Name-and-Shame“-Taktik, um ihre Opfer zu erpressen, indem sie sensible Informationen verschlüsselt und mit der Veröffentlichung droht.
- Obwohl sich 8Base als Penetrationstester positioniert, verfolgt die Gruppe bei ihren Angriffen finanzielle Motive und hat bereits öffentliche Gesundheitseinrichtungen in den USA ins Visier genommen.
- 8Base nutzt Phobos-Ransomware Version 2.9.1 und SmokeLoader für die Verschleierung beim Eindringen und setzt hauptsächlich auf Phishing-Mails als Eintrittspunkt.
- Die Gruppierung konzentriert sich vor allem auf Unternehmen in Nordamerika, zielt jedoch auch auf europäische Unternehmen ab, insbesondere in den Branchen Fertigung und Finanzen.
- Die Angriffe von 8Base haben vor allem kleine Unternehmen im Visier, obwohl oder gerade, weil sich die Gruppe als Penetrationstester ausgibt.
- Die Angriffskette und verwendeten Techniken von 8Base sind vielfältig und umfassen Phishing, Credential Access, Schutzumgehung, laterale Bewegung, Privilegienerweiterung, Exfiltrierung und Auswirkungen durch Verschlüsselung.
Über Trend Micro Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können..