8base é um dos grupos de ransomware mais ativos. Neste verão ela se concentrou em pequenas e médias empresas. Devido aos baixos orçamentos de segurança e a mais deficiências de segurança cibernética, as PME muitas vezes são rapidamente vítimas de atacantes.
8base apareceu pela primeira vez em março de 2022 e desde junho de 2023 o grupo está mais ativo do que nunca. Conseqüentemente, agora é importante agir e se proteger de ataques de criminosos, afirma Anish Bogati, engenheiro de pesquisa de segurança da Logpoint.
Uma mistura explosiva
Em geral, as pequenas e médias empresas têm maior probabilidade de enfrentar baixos orçamentos de segurança e deficiências de segurança cibernética, o que é um coquetel perigoso quando um grupo de ransomware como o 8base se aproxima delas. As pequenas e médias empresas, em particular, devem, portanto, familiarizar-se com a ameaça representada pelo 8base e, mais importante, reforçar as suas medidas de segurança para se protegerem contra o 8base. Compreender o atacante é a chave para desenvolver melhores estratégias de defesa.
A pesquisa da Logpoint descobriu a cadeia de infecção do 8base por meio da análise de malware. 8base usa várias famílias de malware para atingir seus objetivos, incluindo SmokeLoader e SystemBC, além da carga útil do Phobos Ransomware. O grupo de ransomware obtém acesso principalmente por meio de e-mails de phishing e usa o Windows Command Shell e o Power Shell para executar a carga. Os atacantes utilizam diversas técnicas para permanecer no sistema, contornar as defesas e atingir seus objetivos.
A prevenção necessária
É essencial que as equipes de segurança sejam capazes de detectar atividades do 8base em seu próprio sistema em tempo hábil. Isso também inclui processos secundários suspeitos iniciados por produtos do Microsoft Office, como a execução de arquivos usando WScript ou CScript ou a criação de tarefas agendadas. Conhecer os Indicadores de Compromisso (IoC) relevantes e as Táticas, Técnicas e Procedimentos (TTPs) dos invasores ajuda as PMEs a detectar e impedir proativamente ou pelo menos mitigar atividades suspeitas relacionadas ao 8base.
As principais ferramentas para uma estratégia robusta de segurança cibernética, neste caso, são o registro adequado, a visibilidade dos ativos e o monitoramento rigoroso. Esses componentes ajudam a monitorar a rede e também a detectar anomalias, como arquivos colocados em pastas graváveis publicamente, alterações nos valores do registro e tarefas agendadas suspeitas que podem indicar uma ameaça à segurança como o 8base. No entanto, qualquer pessoa que não prepare proativamente os componentes de segurança necessários corre o risco de se tornar mais uma vítima na lista cada vez maior de incidentes de ransomware.
Mais em Logpoint.com
Sobre LogPoint
A Logpoint é líder global em plataformas de segurança inovadoras e intuitivas que permitem às equipes de segurança detectar, investigar e responder a ameaças mais rapidamente com um conjunto consolidado de tecnologias.