8Base Ransomware Group

Wie funktioniert die 8Base-Ransomware?

Normalerweise gelangt die 8Base-Malware über Phishing-E-Mails oder Initial Access Broker in die Zielumgebung. Dabei handelt es sich um Cyberkriminelle, die sich auf irgendeine Art und Weise – Phishing, kompromittierte Anmeldeinformationen, Erpressung durch Schwachstellen usw. – Zugang zum Netzwerk eines Unternehmens verschafft haben und diesen Zugang im Dark Web an andere Cyberkriminelle verkaufen.

Sobald 8Base einen Computer infiziert hat, fungiert es als Ransomware mit doppelter Erpressung, die sowohl Daten verschlüsselt als auch stiehlt. Es beginnt mit der Aufzählung aller an das System angeschlossenen Laufwerke und der Identifizierung der darin enthaltenen Datendateien. Diese Dateien werden dann mit AES-256 im CBC-Modus verschlüsselt und haben die Erweiterung .8base angehängte Erweiterung.

Die Malware nutzt außerdem verschiedene Mittel, um der Erkennung zu entgehen, persistent zu bleiben und vor einer Wiederherstellung der Daten zu schützen. Einige Techniken umfassen:

• Ändern Firewall Regeln zum Deaktivieren der erweiterten Firewall von Windows Defender.
• Löschen von Volumeschattenkopien für verschlüsselte Dateien.
• Deaktivieren des Wiederherstellungsmodus in der Startrichtlinie.
• Hinzufügen von Persistenz in der Windows-Registrierung und im Startordner.

Zusätzlich zur Verschlüsselung der Daten versucht die Malware auch, diese von infizierten Computern zu stehlen. Sobald die Verschlüsselung und Exfiltration der Daten abgeschlossen ist, stellt die Malware dem Besitzer des infizierten Geräts eine Lösegeldforderung.

Nach Vorlage der Lösegeldforderung kann sich das Unternehmen dazu entschließen, das Lösegeld zu zahlen, um den Zugriff auf die verschlüsselten Dateien wiederherzustellen. Ist dies nicht der Fall, kommt die doppelte Erpressung ins Spiel. Dabei droht die Ransomware-Gruppe 8Base damit, vertrauliche Informationen preiszugeben, die sie aus den Systemen des Unternehmens gestohlen hat, falls sich das Unternehmen weiterhin weigert zu zahlen. Dieser Datenmissbrauch kann dem Reputationsschaden für das Unternehmen erheblichen Schaden zufügen und aufgrund des unzureichenden Schutzes der Kundendaten aufsichtsrechtliche Sanktionen nach sich ziehen.

So schützen Sie sich vor 8Base Ransomware

Ein Ransomware-Angriff kann für ein Unternehmen schädlich und kostspielig sein. Zu den Best Practices zum Schutz vor 8Base und anderen Ransomware-Angriffen gehören die folgenden:

• Sicherheitsschulung für Mitarbeiter: Die 8Base-Ransomware-Gruppe verwendet bekanntermaßen Phishing-E-Mails als einen ihrer primären Infektionsvektoren. Indem Sie Ihre Mitarbeiter darin schulen, gängige Phishing-Bedrohungen zu erkennen und richtig darauf zu reagieren, können Sie das damit verbundene Risiko für Ihr Unternehmen verringern.
• Anti-Ransomware-Lösungen: Anti-Ransomware-Lösungen können Verhaltensanalysen und Signaturerkennung nutzen, um mögliche Ransomware-Infektionen auf einem Gerät zu identifizieren und zu blockieren. Beispielsweise öffnet und verändert Ransomware während des Verschlüsselungsprozesses viele Dateien. Dabei handelt es sich um ein ungewöhnliches und wahrscheinlich bösartiges Verhalten, das Endgerätesicherheitslösungen als potenziellen Indikator für eine Kompromittierung (IoC) verwenden können.
• Datensicherungen: 8Base ist eine Ransomware-Variante mit doppelter Erpressung, d. h. sie verschlüsselt und stiehlt Daten sowohl. Durch die Bereitstellung von Datensicherungen hat das Unternehmen die Möglichkeit, verschlüsselte Daten aus Sicherungen wiederherzustellen, anstatt für den Entschlüsselungsschlüssel zu bezahlen.
• Zero-Trust-Sicherheit: 8Base und andere Ransomware-Varianten müssen auf wertvolle Daten zugreifen können, um diese zu verschlüsseln oder zu stehlen. Durch die Implementierung einer Zero-Trust-Sicherheit – basierend auf dem Prinzip der geringsten Privilegien – wird die Wahrscheinlichkeit verringert, dass die Malware unentdeckt den erforderlichen Zugriff erhält.
• Starke Benutzerauthentifizierung: Ransomware kann schwache oder kompromittierte Passwörter verwenden, um Zugriff auf Benutzerkonten und die damit verbundenen Berechtigungen zu erhalten. Durch die Implementierung einer mehrstufigen Authentifizierung (MFA) kann verhindert werden, dass diese Methode erstmalig Zugriff erhält oder Berechtigungen in den Systemen eines Unternehmens erhöht.
• Netzwerksegmentierung: Ransomware muss möglicherweise vom Zeitpunkt der Erstinfektion das Netzwerk einer Organisation zu Datenbanken und anderen hochwertigen Zielen durchlaufen. Dies wird durch die Netzwerksegmentierung erschwert, indem kritische Systeme von den Arbeitsstationen der Mitarbeiter isoliert werden und die Implementierung und Durchsetzung von Zero-Trust-Zugriffskontrollen für das Unternehmen vereinfacht wird.