Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Chiara Nardini : 28 Giugno 2023 13:48
“i tuoi dati non sono al sicuro” è il payoff sotto al logo di 8base, e già la premessa non sembra essere delle migliori.
Nel giugno di quest’anno, una nuova ondata di attacchi informatici organizzati dal gruppo criminale 8Base ha travolto il mondo. Gli hacker utilizzano il metodo della doppia estorsione: infettano i computer delle vittime con un ransomware che blocca l’accesso ai dati e quindi richiedono un riscatto per il loro ripristino.
Se la vittima si rifiuta di pagare, gli hacker minacciano di pubblicare le informazioni rubate sul loro sito di leak sul dark web.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il gruppo 8Base è apparso nel marzo 2022, ma fino a giugno 2023 ha effettuato pochi e insignificanti attacchi. Tuttavia, recentemente la loro attività è aumentata notevolmente e hanno iniziato ad attaccare molte aziende in vari settori. Finora, 8Base ha annunciato 35 vittime sul suo sito, a volte annunciando fino a sei nuove vittime in un solo giorno.
Anche l’Italia ha avuto molte vittime pubblicate sul loro data leak site che hanno visto i loro dati messi alla berlina dal gruppo di criminali informatici. Gli stessi hacker si definiscono “onesti e semplici pentester” e offrono alle aziende “le condizioni più leali” per la restituzione dei propri dati.
Secondo i ricercatori di VMWare del team Carbon Black (il link non funziona in quanto il team ha eliminato l’articolo poco dopo la sua pubblicazione), le tattiche di attacco di 8Base indicano che si tratta di una versione rinominata di un’altra ben nota banda di ransomware, molto probabilmente RansomHouse.
RansomHouse è un gruppo ransomware che afferma di non eseguire attacchi con la crittografia, ma collabora solo con altre operazioni ransomware per vendere i propri dati. VMware sospetta che 8Base sia un fork di RansomHouse.
Tali conclusioni sono state tratte a causa delle stesse note di riscatto utilizzate da entrambi i gruppi, nonché dello stile e del contenuto molto simili del testo sui rispettivi siti di violazione dei dati, dove anche le pagine delle FAQ sembrano essere copiate.
Pagine FAQ identiche (RansomHouse a sinistra, 8Base a destra)
Tuttavia, non esiste una conferma affidabile della connessione tra 8Base e RansomHouse.
Non è raro che le bande di criminali informatici copino semplicemente richieste di riscatto, software, metodi e tattiche da altre bande per non perdere tempo a creare nuove partendo da zero.
Gli attacchi 8Base utilizzano una versione modificata del ransomware Phobos v2.9.1, che viene caricato tramite SmokeLoader. Phobos è un ransomware mirato per Windows che ha colpito per la prima volta nel 2019 e condivide anche molte somiglianze con un altro codice ransomware, Dharma.
Durante l’attacco, il virus, lanciato dagli operatori di 8Base, aggiunge l’omonima estensione “.8base” a tutti i file cifrati. L’esperto di ransomware Michael Gillespie ha riferito che il ransomware Phobos utilizzava anche un’estensione “.eight” simile per i file crittografati.
Inoltre, entrambi i programmi, Phobos e 8Base, utilizzano lo stesso indirizzo e-mail per contattare gli aggressori – “helpermail@onionmail[.]org”, il che porta anche ad alcune riflessioni sulla connessione di queste operazioni dannose.
Un’altra scoperta degna di nota degli analisti di VMware è che 8Base utilizza il dominio “admlogs25[.]xyz” per ospitare un payload associato a SystemBC, un software proxy dannoso utilizzato da diversi gruppi ransomware per offuscare l’infrastruttura C2 .
Tutti questi risultati dei ricercatori mostrano che gli operatori 8Base hanno effettuato attacchi di crittografia per almeno un anno, ma solo di recente hanno attirato l’attenzione dopo il lancio del loro sito di violazione dei dati e un’impennata dell’attività.
8Base sta appena iniziando ad attirare l’attenzione degli analisti, quindi molti aspetti della loro natura tecnica rimangono sconosciuti o poco chiari. Il rapporto VMware contiene anche indicatori di compromissione (IoC) che altri professionisti della sicurezza informatica possono utilizzare per proteggere i propri sistemi, anche se al momento mentre scriviamo questo articolo non risulta disponibile.
Chiara NardiniUn nuovo allarme arriva dal sottobosco del cybercrime arriva poche ore fa. A segnalarlo l’azienda ParagonSec, società specializzata nel monitoraggio delle attività delle cyber gang e dei marketpla...
Cisco Talos ha identificato una nuova campagna ransomware chiamata DeadLock: gli aggressori sfruttano un driver antivirus Baidu vulnerabile (CVE-2024-51324) per disabilitare i sistemi EDR tramite la t...
Quanto avevamo scritto nell’articolo “Codice Patriottico: da DDoSia e NoName057(16) al CISM, l’algoritmo che plasma la gioventù per Putin” su Red Hot Cyber il 23 luglio scorso trova oggi pien...
Notepad++ è spesso preso di mira da malintenzionati perché il software è popolare e ampiamente utilizzato. Una vulnerabilità recentemente scoperta nell’editor di testo e codice open source Notep...
Una vulnerabilità critica associata all’esecuzione di codice remoto (RCE) in Outlook è stata sanata da Microsoft, potenzialmente consentendo a malintenzionati di attivare codice dannoso su sistemi...
