盡管 8Base 勒索軟件團(tuán)伙在 2023 年的活動(dòng)已經(jīng)大幅增加，但仍不廣為人知。該團(tuán)伙也是雙重勒索的使用者，多種手段并用逼迫受害者支付贖金。8Base 最近跨行業(yè)攻擊了很多目標(biāo)，但攻擊者的身份與潛在動(dòng)機(jī)仍然不明。

image.png-298.4kB

數(shù)據(jù)泄露網(wǎng)站

8Base 勒索軟件

8Base 是一個(gè)勒索軟件團(tuán)伙，自從 2022 年 3 月以來(lái)一直保持活躍，且在 2023 年 6 月攻擊大幅增強(qiáng)。攻擊者在泄漏數(shù)據(jù)的網(wǎng)站上，提供了各種常見問題的解決方案與多種聯(lián)系方式。另一個(gè)有趣的地方是 8Base 團(tuán)伙的溝通方式與另一個(gè)已知的勒索軟件組織 RansomHouse 十分類似。

image.png-229.7kB

攻擊活動(dòng)趨勢(shì)

數(shù)據(jù)泄露的網(wǎng)站中提供了兩個(gè)聯(lián)系方式：

• Telegram：https[:]//t.me/eightbase
• Twitter：@8BaseHome

image.png-882.6kB

攻擊者的 Twitter 賬號(hào)

8Base 勒索軟件團(tuán)伙的目標(biāo)行業(yè)有商業(yè)服務(wù)、金融、制造與信息技術(shù)。

image.png-222.3kB

攻擊行業(yè)分布

盡管 8Base 勒索軟件團(tuán)伙并不一定是一個(gè)新出現(xiàn)的攻擊團(tuán)伙，但其最近激增的活動(dòng)并未引起人們的廣泛關(guān)注。在過去的一個(gè)月內(nèi)，8Base 也可以排得上最活躍的前兩位。除了勒索信息與擴(kuò)展名為 .8Base 的加密文件外，其實(shí)大家對(duì) 8Base 勒索軟件知之甚少。

image.png-204kB

受害者排行

到底是誰(shuí)的勒索？

在發(fā)現(xiàn) 8Base 之初，研究人員就注意到其與 RansomHouse 之間存在明顯的相似之處。目前，RansomHouse 是否是真正的勒索軟件團(tuán)伙尚有爭(zhēng)議。該團(tuán)伙會(huì)購(gòu)買已經(jīng)泄露的數(shù)據(jù)，然后向受害者勒索錢財(cái)。

image.png-900.8kB

勒索信息

第一個(gè)相似之處是利用 Doc2Vec 模型處理勒索信息發(fā)現(xiàn)的。8Base 的勒索信息與 RansomHouse 的勒索信息相似度達(dá)到 99%，如下所示：

image.png-607.3kB

網(wǎng)頁(yè)相似對(duì)比

更加深入地研究后，發(fā)現(xiàn)了更多的相似之處：

image.png-629kB

服務(wù)條款頁(yè)對(duì)比

image.png-650.9kB

服務(wù)條款頁(yè)對(duì)比

數(shù)據(jù)泄露網(wǎng)站的歡迎頁(yè)面就是從 RandomHouse 的頁(yè)面復(fù)制過來(lái)的，服務(wù)條款頁(yè)與常見問題解答頁(yè)也是如此。

image.png-2055.4kB

FAQ 頁(yè)面對(duì)比

對(duì)比這兩個(gè)攻擊團(tuán)伙時(shí)，存在兩個(gè)主要的區(qū)別。第一個(gè)區(qū)別是 RansomHouse 會(huì)宣傳合作伙伴關(guān)系并公開招募合作方。

image.png-619.8kB

公開宣傳頁(yè)面

另一個(gè)區(qū)別是數(shù)據(jù)泄露頁(yè)面存在差異，如下所示：

image.png-1055.6kB

二者差異對(duì)比

由于二者高度相似，研究人員懷疑 8Base 是否為 RansomHouse 的分支或者模仿者，但是RansomHouse 使用黑市上出售的各種勒索軟件進(jìn)行攻擊，并不自行開發(fā)，對(duì)于 8Base 也未能找到任何勒索軟件變種。

image.png-691.5kB

勒索信息對(duì)比

image.png-815.3kB

勒索信息對(duì)比

研究人員發(fā)現(xiàn)了兩個(gè)截然不同的勒索信息：一張與 RansomHouse 相符，另一張與 Phobos 相符。這是否能夠說明 8Base 與 RansomHouse 類似，也是用不同的勒索軟件進(jìn)行攻擊。那么，8Base 是否為 RansomHouse 的一個(gè)分支呢？

8Base 與 Phobos

研究人員發(fā)現(xiàn)了使用 .8Base 擴(kuò)展名的 Phobos 勒索軟件樣本，尚不清楚這是勒索軟件的早期版本還是 8Base 使用不同的勒索軟件進(jìn)行攻擊。8Base 在攻擊中使用 2.9.1 版本的 Phobos 與 SmokeLoader 對(duì)勒索軟件進(jìn)行混淆。由于 Phobos 本身就提供 RaaS 服務(wù)，攻擊者可以根據(jù)自身需要對(duì)勒索軟件進(jìn)行定制。

image.png-190.2kB

文件擴(kuò)展名對(duì)比

盡管 8Base 在加密文件上使用了 .8Base 以示區(qū)別，但其他內(nèi)容仍然沿用 Phobos，包括 ID、電子郵件地址等。

8Base 的樣本文件是通過域名 admlogs25[.]xyz 下載而來(lái)，該域名似乎與遠(yuǎn)控工具 SystemBC 存在關(guān)聯(lián)。

總結(jié)

8Base 正在進(jìn)行瘋狂攻擊，目前只能推測(cè)其使用幾種不同的勒索軟件進(jìn)行攻擊。該團(tuán)伙針對(duì)小型企業(yè)的攻擊十分頻繁，一直處于活躍期。

8Base 是否為 Phobos 或者 RandomHouse 的分支還有待觀察，但一目了然的是 8Base 與 RansomHouse 幾乎相同。