8base est l'un des groupes de ransomwares les plus actifs. Cet été, elle s'est concentrée sur les petites et moyennes entreprises. En raison des faibles budgets de sécurité et des lacunes accrues en matière de cybersécurité, les PME sont souvent rapidement victimes d'attaquants.
8base est apparu pour la première fois en mars 2022 et depuis juin 2023, le groupe est plus actif que jamais. Par conséquent, il est désormais important d'agir et de se protéger contre une attaque de criminels, explique Anish Bogati, ingénieur de recherche en sécurité chez Logpoint.
Un mélange explosif
En général, les PME sont plus susceptibles d’être confrontées à de faibles budgets de sécurité et à des lacunes en matière de cybersécurité, ce qui constitue un cocktail dangereux lorsqu’un groupe de ransomwares comme 8base les approche. Les petites et moyennes entreprises en particulier doivent donc se familiariser avec la menace que représente 8base et, surtout, renforcer leurs mesures de sécurité pour se protéger contre 8base. Comprendre l’attaquant est la clé pour développer de meilleures stratégies de défense.
Les recherches de Logpoint ont découvert la chaîne d'infection 8base grâce à l'analyse des logiciels malveillants. 8base utilise plusieurs familles de logiciels malveillants pour atteindre ses objectifs, notamment SmokeLoader et SystemBC, en plus de la charge utile Phobos Ransomware. Le groupe de ransomwares accède principalement via des e-mails de phishing et utilise Windows Command Shell et Power Shell pour exécuter la charge utile. Les attaquants utilisent plusieurs techniques pour rester dans le système, contourner les défenses et atteindre leurs objectifs.
La prévention nécessaire
Il est essentiel que les équipes de sécurité soient capables de détecter rapidement les activités de 8base dans leur propre système. Cela inclut également les processus enfants suspects démarrés par les produits Microsoft Office, tels que l'exécution de fichiers à l'aide de WScript ou de CScript ou la création de tâches planifiées. Connaître les indicateurs de compromission (IoC) pertinents et les tactiques, techniques et procédures (TTP) des attaquants aide les PME à détecter et à contrecarrer de manière proactive ou au moins à atténuer les activités suspectes liées à 8base.
Dans ce cas, les outils clés pour une stratégie de cybersécurité robuste sont une journalisation appropriée, la visibilité des actifs et une surveillance stricte. Ces composants aident à suivre le réseau et aident également à détecter des anomalies telles que le placement de fichiers dans des dossiers accessibles en écriture publique, les modifications des valeurs de registre et les tâches planifiées suspectes pouvant indiquer une menace de sécurité telle que 8base. Cependant, quiconque ne prépare pas de manière proactive les composants de sécurité nécessaires court le risque de devenir une autre victime dans la liste toujours croissante des incidents de ransomware.
Plus sur Logpoint.com
À propos de Logpoint
Logpoint est un leader mondial des plateformes de sécurité innovantes et intuitives qui permettent aux équipes de sécurité de détecter, d'enquêter et de répondre plus rapidement aux menaces grâce à une suite consolidée de technologies.