Nuova minaccia informatica: 8Base moltiplica gli attacchi e mette a repentaglio le aziende in Italia e in tutto il mondo

“i tuoi dati non sono al sicuro” è il payoff sotto al logo di 8base, e già la premessa non sembra essere delle migliori.

Nel giugno di quest’anno, una nuova ondata di attacchi informatici organizzati dal gruppo criminale 8Base ha travolto il mondo. Gli hacker utilizzano il metodo della doppia estorsione: infettano i computer delle vittime con un ransomware che blocca l’accesso ai dati e quindi richiedono un riscatto per il loro ripristino. 

Se la vittima si rifiuta di pagare, gli hacker minacciano di pubblicare le informazioni rubate sul loro sito di leak sul dark web.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il gruppo 8Base è apparso nel marzo 2022, ma fino a giugno 2023 ha effettuato pochi e insignificanti attacchi. Tuttavia, recentemente la loro attività è aumentata notevolmente e hanno iniziato ad attaccare molte aziende in vari settori. Finora, 8Base ha annunciato 35 vittime sul suo sito, a volte annunciando fino a sei nuove vittime in un solo giorno.

Anche l’Italia ha avuto molte vittime pubblicate sul loro data leak site che hanno visto i loro dati messi alla berlina dal gruppo di criminali informatici. Gli stessi hacker si definiscono “onesti e semplici pentester” e offrono alle aziende “le condizioni più leali” per la restituzione dei propri dati.

Secondo i ricercatori di VMWare del team Carbon Black (il link non funziona in quanto il team ha eliminato l’articolo poco dopo la sua pubblicazione), le tattiche di attacco di 8Base indicano che si tratta di una versione rinominata di un’altra ben nota banda di ransomware, molto probabilmente RansomHouse.

RansomHouse è un gruppo ransomware che afferma di non eseguire attacchi con la crittografia, ma collabora solo con altre operazioni ransomware per vendere i propri dati. VMware sospetta che 8Base sia un fork di RansomHouse. 

Tali conclusioni sono state tratte a causa delle stesse note di riscatto utilizzate da entrambi i gruppi, nonché dello stile e del contenuto molto simili del testo sui rispettivi siti di violazione dei dati, dove anche le pagine delle FAQ sembrano essere copiate.

Pagine FAQ identiche (RansomHouse a sinistra, 8Base a destra)

Tuttavia, non esiste una conferma affidabile della connessione tra 8Base e RansomHouse. 

Non è raro che le bande di criminali informatici copino semplicemente richieste di riscatto, software, metodi e tattiche da altre bande per non perdere tempo a creare nuove partendo da zero.

Gli attacchi 8Base utilizzano una versione modificata del ransomware Phobos v2.9.1, che viene caricato tramite SmokeLoader. Phobos è un ransomware mirato per Windows che ha colpito per la prima volta nel 2019 e condivide anche molte somiglianze con un altro codice ransomware, Dharma.

Durante l’attacco, il virus, lanciato dagli operatori di 8Base, aggiunge l’omonima estensione “.8base” a tutti i file cifrati. L’esperto di ransomware Michael Gillespie ha riferito che il ransomware Phobos utilizzava anche un’estensione “.eight” simile per i file crittografati.

Inoltre, entrambi i programmi, Phobos e 8Base, utilizzano lo stesso indirizzo e-mail per contattare gli aggressori – “helpermail@onionmail[.]org”, il che porta anche ad alcune riflessioni sulla connessione di queste operazioni dannose.

Un’altra scoperta degna di nota degli analisti di VMware è che 8Base utilizza il dominio “admlogs25[.]xyz” per ospitare un payload associato a SystemBC, un software proxy dannoso utilizzato da diversi gruppi ransomware per offuscare l’infrastruttura C2 .

Tutti questi risultati dei ricercatori mostrano che gli operatori 8Base hanno effettuato attacchi di crittografia per almeno un anno, ma solo di recente hanno attirato l’attenzione dopo il lancio del loro sito di violazione dei dati e un’impennata dell’attività.

8Base sta appena iniziando ad attirare l’attenzione degli analisti, quindi molti aspetti della loro natura tecnica rimangono sconosciuti o poco chiari. Il rapporto VMware contiene anche indicatori di compromissione (IoC) che altri professionisti della sicurezza informatica possono utilizzare per proteggere i propri sistemi, anche se al momento mentre scriviamo questo articolo non risulta disponibile.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Chiara Nardini

Esperta di Cyber Threat intelligence e di cybersecurity awareness, blogger per passione e ricercatrice di sicurezza informatica. Crede che si possa combattere il cybercrime solo conoscendo le minacce informatiche attraverso una costante attività di "lesson learned" e di divulgazione. Analista di punta per quello che concerne gli incidenti di sicurezza informatica del comparto Italia.

Lista degli articoli