En los últimos meses, mayo y junio del 2023, se ha detectado la presencia de un ransomware llamado 8Base, el cual ha estado operando de forma silenciosa principalmente en EE.UU y Latinoamérica, su objetivo es comprometer diversas industrias en distintos rubros. Los actores de amenaza detrás de 8Base se consideran así mismos como “simples pentesters”, sin embargo, pueden tener relación con otras familias de ransomware por la similitud en sus técnicas y despliegue tras sus ataques.
Como dato adicional la extensión de cifrado que utiliza este malware es [.]8base. y despliega notas [.]txt y [.]hta informando a las víctimas que han sido cifradas.
Ilustración 1: Archivos cifrados con ransomware 8Base
Fuente: Pcrisk
¿Cómo opera?
Según lo observado en las investigaciones publicadas, 8Base utiliza el método de doble extorsión para obligar a sus víctimas a efectuar el pago por el rescate de la información secuestrada, de lo contrario comienza la cuenta regresiva en donde finalmente si no se accede a sus demandas los datos son expuestos públicamente, lo que conlleva a una pérdida de confianza y mala reputación de las empresas u organizaciones afectadas de cara a sus clientes.
Adicionalmente este ransomware (8Base) posee un patrón de compromiso oportunista con los distintos sectores y rubros a los que afecta, esto quiere decir que aprovechan al máximo el valor de la información secuestrada, para obtener el mayor beneficio posible después de haber concretado el ataque.
Según estadísticas recolectadas de distintos investigadores este grupo de ciber actores han comprometido con su malware a más de 80 víctimas desde marzo del 2022 hasta mayo del 2023 y entre sus principales objetivos figuran; servicios comerciales, finanzas, construcción y fabricación. Por el momento sus ataques han estado dirigidos contra los países de Brasil, México, Colombia, EE.UU y otros de Europa .
Similitudes con RansomHouse
Investigadores de VMware descubrieron muchas similitudes con otra familia de ransomware llamada RansomHouse, en donde las notas de rescate desplegadas en los equipos afectados son muy similares, como se puede apreciar a continuación.
Ilustración 2: Comparativa notas de rescate 8Base (azul) y RansomHouse (roja)
Fuente: VMware
También detectaron que en los portales de venta de datos de la DDW (Deep Dark Web) utilizan un lenguaje de comunicación muy parecido, así mismo en el apartado de términos del servicio de ambos sitios los textos de cara a los visitantes son semejantes. A continuación se visualizan las imágenes de bienvenida en ambos portales de la DDW.
Ilustración 3: Portal bienvenida en DDW Ransomware 8Base
Fuente: Grupo CTI Entel Ocean
Ilustración 4: Portal bienvenida en DDW RansomHouse
Fuente: Grupo CTI Entel Ocean
Los investigadores de VMware creen que además de RansomHouse, este grupo de ciber actores (8Base) podrían haber utilizado el servicio RaaS de Phobos Ransomware con el cual también se han detectado similitudes entre ellos.
Puntos de contacto
Este grupo de ciber actores al igual que otros de su tipo poseen dos canales de comunicacion en la Surface Web, uno de Telegram y otro de Twitter, en los cuales exponen evidencias de los ataques que se atribuyen, también comparten y negocian información con otros grupos de ransomware, así también en su sitio de la DDW, poseen un punto de contacto para negociar tanto con sus víctimas como con personas interesadas en la data sustraída, la intención de estos grupos siempre será obtener un beneficio económico a cambio y mantener el anonimato para no ser descubiertos.
Ilustración 5: Canales de Telegram y Twitter en la Surface Web
Fuente: Grupo CTI Entel Ocean
Ilustración 6: Punto de contacto ransomware 8Base en DDW
Fuente: Grupo CTI Entel Ocean
Servicios que ofrecen
Según lo publicado en su sitio de la DDW, están en búsqueda de nuevos contactos para negociar voluntariamente la venta de información y subirla a sus canales de difusión, esto traería un beneficio económico tanto para quien entrega la información como para ellos que la venden, entre sus políticas internas, no aceptan información que viole los principios morales y éticos, tampoco exponen informaciones de índole política extremista, espionaje ni religión.
Mantienen ofertas especiales a periodistas y reporteros para que les entreguen información verídica y primicias antes que sean publicadas en medios oficiales.
También poseen un enunciado dirigido a personas que vean sus datos personales comprometidos o expuestos en las filtraciones.
Exposición de víctimas
Según la información expuesta de una de sus últimas víctimas en su sitio de la DDW, corresponde a una empresa de construcción, la afectación ocurrió ayer (28 junio) y ya el 03 de julio se haría pública la información sustraída, tan solo 5 días después de haber sido comprometida, un tiempo relativamente corto para negociar en comparación con otros grupos en donde estos tiempos de reacción son más prolongados, esto se puede visualizar en la siguiente imagen:
Ilustración 7: Detalle de empresa afectada últimas 24 horas
Fuente: Grupo CTI Entel Ocean
Actividad en el tiempo
Como ya fue mencionado anteriormente sus primeros ataques fueron registrados en marzo del 2022, pero paulatinamente en el tiempo han ido aumentando sus intromisiones, es así como ya son más de 80 empresas que han sido víctimas de este grupo de ciber actores, sus peak de ataques más elevados están registrados en febrero y en el presente mes de junio del 2023, a continuación se puede apreciar una gráfica que muestra esta evolución desde su primera aparición en el 2022.
Ilustración 8: Seguimiento de ataques desde 2022 hasta junio 2023
Fuente: VMware
Si bien 8Base no es un grupo nuevo, sus recientes ataques en los últimos 30 días han sido en gran cantidad y por ende no han pasado desapercibidos, si hacemos una comparativa en el mismo periodo de tiempo con otros grupos de ransomware activos como LockBit3, Alphy, Bianlian, Nokoyawa, Play entre otros, 8Base ocupa el segundo lugar después de LockBit3 que lleva la delantera.
En cuanto a los sectores afectados por este grupo, a continuación se expone una gráfica que muestra la cantidad de ataques y los rubros comprometidos como se puede apreciar servicios de negocios, finanzas, manufactura, tecnologías de la información y salud, han sido los más afectados en el transcurso del tiempo.
Ilustración 9: Gráfica con sectores afectados por 8Base
Fuente: Grupo CTI Entel Ocean
Apreciación
Según los antecedentes obtenidos actualmente es posible evidenciar que este grupo ha comenzado a operar con mayor presencia en el panorama de amenazas global, el hecho que en los últimos meses este a la altura de LockBit, BlackCat y otros grupos en cuanto a la cantidad de ataques diarios, hacen suponer que detectaron algún fallo importante y masivo el cual estarían explotando activamente, también es notorio la rapidez y eficiencia en sus ataques actuales esto se traduce en la experiencia que poseen los integrantes del grupo, adicionalmente a esto, la presencia y actividad demostrada en las cuentas de Telegram como en Twitter ratifican que están en constante comunicación y actividad.
Las empresas y organizaciones del sector, debemos estar alerta ante la presencia de este actor de amenazas que en ataques posteriores podría dirigir sus operaciones contra distintos rubros de nuestro país, principalmente en sectores de finanzas, infraestructuras y tecnologías de la información.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Tipo | Indicador |
---|---|
hash | 518544e56e8ccee401ffa1b0a01... |
hash | 5ba74a5693f4810a8eb9b9eeb1d... |
hash | e142f4e8eb3fb4323fb377138f5... |
hash | c6bd5b8e14551eb899bbe4decb6... |
hash | 518544e56e8ccee401ffa1b0a01... |
hash | afddec37cdc1d196a1136e2252e... |
dominio | wlaexfpxrs[.]org |
dominio | admhexlogs25[.]xyz |
dominio | admlogs25[.]xyz |
dominio | admlog2[.]xyz |
dominio | dnm777[.]xyz |
dominio | dexblog[.]xyz |
dominio | blogstat355[.]xyz |
dominio | blogstatserv25[.]xyz |
dominio | serverlogs37[.]xyz |