8Base Ransomware Group

8Base ist eine Ransomware- Gruppe, die erstmals im Jahr 2022 auftauchte, aber im Jahr 2023 ihre Aktivitäten intensivierte und ihre Methoden deutlich verfeinerte. Die Malware begann als Krypto-Ransomware, hat sich seitdem jedoch weiterentwickelt und ermöglicht bei ihren Angriffen mehrere Erpressungsmethoden. Die Malware weist große Ähnlichkeiten mit der von Phobos und verwandten Gruppen auf. Zwischen den beiden Gruppen ist allerdings keine formelle Beziehung bekannt.

Demo anfordern Mehr erfahren

Wie funktioniert die 8Base-Ransomware?

Normalerweise gelangt die 8Base-Malware über Phishing-E-Mails oder Initial Access Broker in die Zielumgebung. Dabei handelt es sich um Cyberkriminelle, die sich auf irgendeine Art und Weise – Phishing, kompromittierte Anmeldeinformationen, Erpressung durch Schwachstellen usw. – Zugang zum Netzwerk eines Unternehmens verschafft haben und diesen Zugang im Dark Web an andere Cyberkriminelle verkaufen.

Sobald 8Base einen Computer infiziert hat, fungiert es als Ransomware mit doppelter Erpressung, die sowohl Daten verschlüsselt als auch stiehlt. Es beginnt mit der Aufzählung aller an das System angeschlossenen Laufwerke und der Identifizierung der darin enthaltenen Datendateien. Diese Dateien werden dann mit AES-256 im CBC-Modus verschlüsselt und haben die Erweiterung .8base angehängte Erweiterung.

Die Malware nutzt außerdem verschiedene Mittel, um der Erkennung zu entgehen, persistent zu bleiben und vor einer Wiederherstellung der Daten zu schützen. Einige Techniken umfassen:

  • Ändern Firewall Regeln zum Deaktivieren der erweiterten Firewall von Windows Defender.
  • Löschen von Volumeschattenkopien für verschlüsselte Dateien.
  • Deaktivieren des Wiederherstellungsmodus in der Startrichtlinie.
  • Hinzufügen von Persistenz in der Windows-Registrierung und im Startordner.

Zusätzlich zur Verschlüsselung der Daten versucht die Malware auch, diese von infizierten Computern zu stehlen. Sobald die Verschlüsselung und Exfiltration der Daten abgeschlossen ist, stellt die Malware dem Besitzer des infizierten Geräts eine Lösegeldforderung.

Nach Vorlage der Lösegeldforderung kann sich das Unternehmen dazu entschließen, das Lösegeld zu zahlen, um den Zugriff auf die verschlüsselten Dateien wiederherzustellen. Ist dies nicht der Fall, kommt die doppelte Erpressung ins Spiel. Dabei droht die Ransomware-Gruppe 8Base damit, vertrauliche Informationen preiszugeben, die sie aus den Systemen des Unternehmens gestohlen hat, falls sich das Unternehmen weiterhin weigert zu zahlen. Dieser Datenmissbrauch kann dem Reputationsschaden für das Unternehmen erheblichen Schaden zufügen und aufgrund des unzureichenden Schutzes der Kundendaten aufsichtsrechtliche Sanktionen nach sich ziehen.

Worauf zielt 8Base Ransomware ab?

Die 8Base-Ransomware-Gruppe zielt auf Unternehmen aus verschiedenen Branchen ab, darunter Finanzen, Fertigung, IT und Gesundheitswesen. Im Allgemeinen handelt es sich bei den Zielen um kleine und mittlere Unternehmen (KMU) und diese befinden sich hauptsächlich in den Vereinigten Staaten, Brasilien und dem Vereinigten Königreich.

So schützen Sie sich vor 8Base Ransomware

Ein Ransomware-Angriff kann für ein Unternehmen schädlich und kostspielig sein. Zu den Best Practices zum Schutz vor 8Base und anderen Ransomware-Angriffen gehören die folgenden:

 

  • Sicherheitsschulung für Mitarbeiter: Die 8Base-Ransomware-Gruppe verwendet bekanntermaßen Phishing-E-Mails als einen ihrer primären Infektionsvektoren. Indem Sie Ihre Mitarbeiter darin schulen, gängige Phishing-Bedrohungen zu erkennen und richtig darauf zu reagieren, können Sie das damit verbundene Risiko für Ihr Unternehmen verringern.
  • Anti-Ransomware-Lösungen: Anti-Ransomware-Lösungen können Verhaltensanalysen und Signaturerkennung nutzen, um mögliche Ransomware-Infektionen auf einem Gerät zu identifizieren und zu blockieren. Beispielsweise öffnet und verändert Ransomware während des Verschlüsselungsprozesses viele Dateien. Dabei handelt es sich um ein ungewöhnliches und wahrscheinlich bösartiges Verhalten, das Endgerätesicherheitslösungen als potenziellen Indikator für eine Kompromittierung (IoC) verwenden können.
  • Datensicherungen: 8Base ist eine Ransomware-Variante mit doppelter Erpressung, d. h. sie verschlüsselt und stiehlt Daten sowohl. Durch die Bereitstellung von Datensicherungen hat das Unternehmen die Möglichkeit, verschlüsselte Daten aus Sicherungen wiederherzustellen, anstatt für den Entschlüsselungsschlüssel zu bezahlen.
  • Zero-Trust-Sicherheit: 8Base und andere Ransomware-Varianten müssen auf wertvolle Daten zugreifen können, um diese zu verschlüsseln oder zu stehlen. Durch die Implementierung einer Zero-Trust-Sicherheit – basierend auf dem Prinzip der geringsten Privilegien – wird die Wahrscheinlichkeit verringert, dass die Malware unentdeckt den erforderlichen Zugriff erhält.
  • Starke Benutzerauthentifizierung: Ransomware kann schwache oder kompromittierte Passwörter verwenden, um Zugriff auf Benutzerkonten und die damit verbundenen Berechtigungen zu erhalten. Durch die Implementierung einer mehrstufigen Authentifizierung (MFA) kann verhindert werden, dass diese Methode erstmalig Zugriff erhält oder Berechtigungen in den Systemen eines Unternehmens erhöht.
  • Netzwerksegmentierung: Ransomware muss möglicherweise vom Zeitpunkt der Erstinfektion das Netzwerk einer Organisation zu Datenbanken und anderen hochwertigen Zielen durchlaufen. Dies wird durch die Netzwerksegmentierung erschwert, indem kritische Systeme von den Arbeitsstationen der Mitarbeiter isoliert werden und die Implementierung und Durchsetzung von Zero-Trust-Zugriffskontrollen für das Unternehmen vereinfacht wird.

Verhindern Sie Ransomware-Angriffe mit Check Point

Prävention ist das einzige wirksame Mittel zur Bekämpfung der Ransomware-Bedrohung. Sobald Ransomware mit der Verschlüsselung oder Exfiltration von Daten begonnen hat, ist der Schaden bereits angerichtet. Weitere Informationen dazu, wie Sie Ransomware Angriffe verhindern und die potenziellen Kosten für das Unternehmen eliminieren können, finden Sie im CISO-Leitfaden zur Ransomware Prävention.

Check Pointvon bietet Schutz vor einer breiten Palette von Bedrohungen der Harmony Endpoint Endgerätesicherheit. Hierzu gehört ein robuster Schutz vor Ransomware sowie die Erkennung und Blockierung einer breiten Palette anderer Arten von Malware. Um mehr über Harmony Endpoint und seine Vorteile für Ihr Unternehmen zu erfahren, melden Sie sich noch heute für eine kostenlose Demo an.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK