8base es uno de los grupos de ransomware más activos. Este verano se centró en las pequeñas y medianas empresas. Debido a los bajos presupuestos de seguridad y a las mayores deficiencias en materia de ciberseguridad, las pymes suelen ser rápidamente víctimas de los atacantes.
8base apareció por primera vez en escena en marzo de 2022 y desde junio de 2023 el grupo ha estado más activo que nunca. En consecuencia, ahora es importante actuar y protegerse de un ataque de delincuentes, afirma Anish Bogati, ingeniero de investigación de seguridad de Logpoint.
Una mezcla explosiva
En general, es más probable que las PYMES tengan que lidiar con presupuestos de seguridad bajos y deficiencias de ciberseguridad, lo que constituye un cóctel peligroso cuando un grupo de ransomware como 8base se acerca a ellas. Por lo tanto, especialmente las pequeñas y medianas empresas deben familiarizarse con la amenaza que representa 8base y, lo que es más importante, reforzar sus medidas de seguridad para protegerse contra 8base. Comprender al atacante es la clave para desarrollar mejores estrategias de defensa.
La investigación de Logpoint descubrió la cadena de infección de 8base mediante análisis de malware. 8base utiliza múltiples familias de malware para lograr sus objetivos, incluidos SmokeLoader y SystemBC, además de la carga útil Phobos Ransomware. El grupo de ransomware obtiene acceso principalmente a través de correos electrónicos de phishing y utiliza Windows Command Shell y Power Shell para ejecutar la carga útil. Los atacantes utilizan varias técnicas para permanecer en el sistema, sortear las defensas y lograr sus objetivos.
La prevención necesaria
Es esencial que los equipos de seguridad puedan detectar actividades de 8base en su propio sistema de manera oportuna. Esto también incluye procesos secundarios sospechosos iniciados por productos de Microsoft Office, como la ejecución de archivos usando WScript o CScript o la creación de tareas programadas. Conocer los indicadores de compromiso (IoC) relevantes y las tácticas, técnicas y procedimientos (TTP) de los atacantes ayuda a las PYMES a detectar y frustrar o al menos mitigar de manera proactiva actividades sospechosas relacionadas con 8base.
En este caso, las herramientas clave para una estrategia sólida de ciberseguridad son el registro adecuado, la visibilidad de los activos y un monitoreo estricto. Estos componentes ayudan a realizar un seguimiento de la red y también ayudan a detectar anomalías, como archivos colocados en carpetas de escritura pública, cambios en los valores del registro y tareas programadas sospechosas que pueden indicar una amenaza a la seguridad como 8base. Sin embargo, cualquiera que no prepare de forma proactiva los componentes de seguridad necesarios corre el riesgo de convertirse en una víctima más de la lista cada vez mayor de incidentes de ransomware.
Más en Logpoint.com
Acerca de Logpoint
Logpoint es líder mundial en plataformas de seguridad innovadoras e intuitivas que permiten a los equipos de seguridad detectar, investigar y responder a amenazas más rápido con un conjunto consolidado de tecnologías.