Ransomware 8Base presente activamente en LATAM

En los últimos meses, mayo y junio del 2023, se ha detectado la presencia de un ransomware llamado 8Base, el cual ha estado operando de forma silenciosa principalmente en EE.UU y Latinoamérica, su objetivo es comprometer diversas industrias en distintos rubros. Los actores de amenaza detrás de 8Base se consideran así mismos como “simples pentesters”, sin embargo, pueden tener relación con otras familias de ransomware por la similitud en sus técnicas y despliegue tras sus ataques.



Como dato adicional la extensión de cifrado que utiliza este malware es [.]8base. y despliega notas [.]txt y [.]hta informando a las víctimas que han sido cifradas.
 

Ilustración 1: Archivos cifrados con ransomware 8Base
Fuente: Pcrisk

¿Cómo opera?

Según lo observado en las investigaciones publicadas, 8Base utiliza el método de doble extorsión para obligar a sus víctimas a efectuar el pago por el rescate de la información secuestrada, de lo contrario comienza la cuenta regresiva en donde finalmente si no se accede a sus demandas los datos son expuestos públicamente, lo que conlleva a una pérdida de confianza y mala reputación de las empresas u organizaciones afectadas de cara a sus clientes.

Adicionalmente este ransomware (8Base) posee un patrón de compromiso oportunista con  los distintos sectores y rubros a los que afecta, esto quiere decir que aprovechan al máximo el valor de la información secuestrada, para obtener el mayor beneficio posible después de haber concretado el ataque.

Según estadísticas recolectadas de distintos investigadores este grupo de ciber actores han comprometido con su malware a más de 80 víctimas desde marzo del 2022 hasta mayo del 2023 y entre sus principales objetivos figuran; servicios comerciales, finanzas, construcción y fabricación. Por el momento sus ataques han estado dirigidos contra los países de Brasil, México, Colombia, EE.UU y otros de Europa .

Similitudes con RansomHouse

Investigadores de VMware descubrieron muchas similitudes con otra familia de ransomware llamada RansomHouse, en donde las notas de rescate desplegadas en los equipos afectados son muy similares, como se puede apreciar a continuación.
 

Ilustración 2: Comparativa notas de rescate 8Base (azul) y RansomHouse (roja)
Fuente: VMware

También detectaron que en los portales de venta de datos de la DDW (Deep Dark Web) utilizan un lenguaje de comunicación muy parecido, así mismo en el apartado de términos del servicio de ambos sitios los textos de cara a los visitantes son semejantes. A continuación se visualizan las imágenes de bienvenida en ambos portales de la DDW.
 

Ilustración 3: Portal bienvenida en DDW Ransomware 8Base
Fuente: Grupo CTI Entel Ocean

Ilustración 4: Portal bienvenida en DDW RansomHouse
Fuente: Grupo CTI Entel Ocean

Los investigadores de VMware creen que además de RansomHouse, este grupo de ciber actores (8Base) podrían haber utilizado el servicio RaaS de Phobos Ransomware con el cual también se han detectado similitudes entre ellos.

Puntos de contacto

Este grupo de ciber actores al igual que otros de su tipo poseen dos canales de comunicacion en la Surface Web, uno de Telegram y otro de Twitter, en los cuales exponen evidencias de los ataques que se atribuyen, también comparten y negocian información con otros grupos de ransomware, así también en su sitio de la DDW, poseen un punto de contacto para negociar tanto con sus víctimas como con personas interesadas en la data sustraída, la intención  de estos grupos siempre será obtener un beneficio económico a cambio y mantener el anonimato para no ser descubiertos.

         

Ilustración 5: Canales de Telegram y Twitter en la Surface Web
Fuente: Grupo CTI Entel Ocean

Ilustración 6: Punto de contacto ransomware 8Base en DDW
Fuente: Grupo CTI Entel Ocean

Servicios que ofrecen

Según lo publicado en su sitio de la DDW, están en búsqueda de nuevos contactos para negociar voluntariamente la venta de información y subirla a sus canales de difusión, esto traería un beneficio económico tanto para quien entrega la información como para ellos que la venden, entre sus políticas internas, no aceptan información que viole los principios morales y éticos, tampoco exponen informaciones de índole política extremista, espionaje ni religión.

Mantienen ofertas especiales a periodistas y reporteros para que les entreguen información verídica y primicias antes que sean publicadas en medios oficiales.

También poseen un enunciado dirigido a personas que vean sus datos personales comprometidos o expuestos en las filtraciones.

Exposición de víctimas

Según la información expuesta de una de sus últimas víctimas en su sitio de la DDW, corresponde a una empresa de construcción, la afectación ocurrió ayer (28 junio) y ya el 03 de julio se haría pública la información sustraída, tan solo 5 días después de haber sido comprometida, un tiempo relativamente corto para negociar en comparación con otros grupos en donde estos tiempos de reacción son más prolongados, esto se puede visualizar en la siguiente imagen:
 

Ilustración 7: Detalle de empresa afectada últimas 24 horas
Fuente: Grupo CTI Entel Ocean

Actividad en el tiempo
 

Como ya fue mencionado anteriormente sus primeros ataques fueron registrados en marzo del 2022, pero paulatinamente en el tiempo han ido aumentando sus intromisiones, es así como ya son más de 80 empresas que han sido víctimas de este grupo de ciber actores, sus peak de ataques más elevados están registrados en febrero y en el presente mes de junio del 2023, a continuación se puede apreciar una gráfica que muestra esta evolución desde su primera aparición en el 2022.
 

Ilustración 8: Seguimiento de ataques desde 2022 hasta junio 2023
Fuente: VMware

Si bien 8Base no es un grupo nuevo, sus recientes ataques en los últimos 30 días han sido en gran cantidad y por ende no han pasado desapercibidos, si hacemos una comparativa en el mismo periodo de tiempo con otros grupos de ransomware activos como LockBit3, Alphy, Bianlian, Nokoyawa, Play entre otros, 8Base ocupa el segundo lugar después de LockBit3 que lleva la delantera.

En cuanto a los sectores afectados por este grupo, a continuación se expone una gráfica que muestra la cantidad de ataques y los rubros comprometidos  como se puede apreciar servicios de negocios, finanzas, manufactura, tecnologías de la información y salud, han sido los más afectados en el transcurso del tiempo.
 

Ilustración 9: Gráfica con sectores afectados por 8Base
Fuente: Grupo CTI Entel Ocean

Apreciación
Según los antecedentes obtenidos actualmente es posible evidenciar que este grupo ha comenzado a operar con mayor presencia en el panorama de amenazas global, el hecho que en los últimos meses este a la altura de LockBit, BlackCat y otros grupos en cuanto a la cantidad de ataques diarios, hacen suponer que detectaron algún fallo importante y masivo el cual estarían explotando activamente, también es notorio la rapidez y eficiencia en sus ataques actuales esto se traduce en la experiencia que poseen los integrantes del grupo, adicionalmente a esto, la presencia y actividad demostrada en las cuentas de Telegram como en Twitter  ratifican que están en constante comunicación y actividad.

Las empresas y organizaciones del sector, debemos estar alerta ante la presencia de este actor de amenazas que en ataques posteriores podría dirigir sus operaciones contra distintos rubros de nuestro país, principalmente en sectores de finanzas, infraestructuras y tecnologías de la información.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• No abrir archivos de Microsoft Office que contengan MACROS hasta obtener confirmación del remitente y verificar que el envío sea bajo estrictas políticas de seguridad como por ejemplo: archivo cifrado, contraseña enviada por otro medio, contacto directo con el remitente.
• Utilizar el principio de menor privilegio, que trata de dividir el uso del sistema en dos cuentas, una estándar para uso diario que incluya las mínimas funciones posibles y otra cuenta de administrador que permita acceder al núcleo de su dispositivo.
• Tener atención y evitar extensiones como “exe”, “vbs” y “scr”. Es necesario vigilar este tipo de archivos, ya que podrían ser peligrosos. Un atacante podría utilizar diversas extensiones para enmascarar archivos maliciosos como un vídeo, foto, o un documento como: (reporte-clientes.doc.scr).
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.