8Base Ransomware Group

¿Cómo actúa el ransomware 8Base?

Normalmente, el malware 8Base se introduce en los entornos objetivo a través de correos electrónicos de phishing o de intermediarios de acceso inicial. Se trata de ciberdelincuentes que han obtenido acceso a la red de una empresa por algún medio - phishing, credenciales comprometidas, extorsión por vulnerabilidad, etc. - y venden ese acceso a otros ciberdelincuentes en la Dark Web.

Una vez que ha infectado un ordenador, 8Base actúa como un ransomware de doble extorsión, tanto encriptando como robando datos. Comienza enumerando todas las unidades conectadas al sistema e identificando los archivos de datos dentro de ellas. Estos archivos se cifran mediante AES-256 en modo CBC y tienen la base .8 extensión adjunta a ellos.

El malware también utiliza diversos medios para evadir la detección, añadir persistencia y protegerse contra la recuperación de datos. Algunas técnicas incluyen:

• Modificación de las reglas de firewall para desactivar Windows Defender Advanced firewall.
• Eliminación de instantáneas de volumen para archivos cifrados.
• Deshabilitar el modo de recuperación en la política de inicio.
• Agregar persistencia en el Registro de Windows y en la carpeta de inicio.

Además de cifrar los datos, el malware también intentará robarlos de las máquinas infectadas. Una vez cifrados y exfiltrados los datos, el malware presentará una petición de rescate al propietario del dispositivo infectado.

Una vez presentada la demanda de rescate, la empresa puede optar por pagar el rescate para restaurar el acceso a sus archivos cifrados. Si no es el caso, entonces entra en juego la doble extorsión, en la que el grupo de ransomware 8Base amenazará con exponer la información sensible que han robado de los sistemas de la empresa si ésta sigue negándose a pagar. Esta violación de datos puede causar un daño significativo a la reputación de la organización y puede dar lugar a sanciones reglamentarias debido a la falta de protección adecuada de los datos de los clientes.

Cómo protegerse contra el ransomware 8Base

Un ataque de ransomware puede ser perjudicial y costoso para una organización. Algunas de las mejores prácticas para protegerse contra 8Base y otros ataques de ransomware son las siguientes:

• Formación en seguridad para empleados: Se sabe que el grupo de ransomware 8Base utiliza correos electrónicos de phishing como uno de sus principales vectores de infección. Formar a los empleados para que detecten y respondan adecuadamente a las amenazas de phishing más comunes puede ayudar a reducir el riesgo que suponen para la empresa.
• Soluciones Anti-ransomware: Las soluciones antiransomware pueden utilizar el análisis del comportamiento y la detección de firmas para identificar, así como bloquear las posibles infecciones de ransomware en un dispositivo. Por ejemplo, ransomware abre y modifica muchos archivos durante el proceso de cifrado, lo que constituye un comportamiento inusual y probablemente malicioso que las soluciones de seguridad de terminales pueden utilizar como posible indicador de compromiso (IoC).
• Copias de seguridad de datos: 8Base es una variante de ransomware de doble extorsión, lo que significa que cifra y roba datos a la vez. Tener copias de seguridad de datos proporciona a la organización la opción de restaurar los datos cifrados a partir de las copias de seguridad, en lugar de pagar por la clave de descifrado.
• Seguridad de confianza cero: 8Base y otras variantes de ransomware necesitan poder acceder a datos de gran valor para cifrarlos o robarlos. La aplicación de la seguridad de confianza cero -basada en el principio del mínimo privilegio- reduce la probabilidad de que el malware pueda obtener el acceso que necesita sin ser detectado.
• Autenticación de usuario fuerte: El ransomware puede utilizar contraseñas débiles o comprometidas para obtener acceso a las cuentas de usuario, así como a sus permisos asociados. La implantación de la autenticación de múltiples factores (MFA) puede impedir este método de acceso inicial o de elevación de privilegios dentro de los sistemas de una empresa.
• red Segmentación: ransomware puede necesitar viajar a través de la red de una organización desde su punto de infección inicial hasta las bases de datos y otros objetivos de alto valor. La segmentación de la red dificulta esta tarea aislando los sistemas críticos de las estaciones de trabajo de los empleados y facilitando a la organización la implantación y aplicación de controles de acceso de confianza cero.