8Base Ransomware Group

Comment agit le logiciel rançonneur 8Base ?

Typiquement, le logiciel malveillant 8Base prend pied dans les environnements cibles via des emails d’hameçonnage ou des brokers d’accès initial. Il s’agit de cybercriminels qui ont accédé au réseau d’une entreprise par certains moyens (hameçonnage, compromission d’identifiants, extorsion de vulnérabilité, etc.) et vendent cet accès à d’autres cybercriminels sur le Dark Web.

Une fois qu’il a infecté un ordinateur, 8Base agit comme un double logiciel d’extorsion rançonneur, à la fois en cryptant et en volant des données. Il commence par énumérer tous les lecteurs connectés au système et identifier les fichiers de données qu’ils contiennent. Ces fichiers sont ensuite cryptés à l’aide d’AES-256 en mode CBC et ont la base .8 extension qui leur est attachée.

Le logiciel malveillant utilise également divers moyens pour échapper à la détection, ajouter de la persistance et se protéger contre la récupération des données. Voici quelques techniques :

• Modification des règles pare-feu pour désactiver le pare-feu avancé de Windows Defender.
• Suppression des clichés instantanés de volume pour les fichiers chiffrés.
• Désactivation du mode de récupération dans la stratégie de démarrage.
• Ajout de la persistance dans le registre et le dossier de démarrage de Windows.

En plus de crypter les données, le logiciel malveillant tentera également de les voler sur les machines infectées. Une fois le chiffrement et l’exfiltration des données terminés, le logiciel malveillant présentera une demande de rançon au propriétaire de l’appareil infecté.

Une fois la demande de rançon présentée, l’entreprise peut choisir de payer la rançon pour restaurer l’accès à ses fichiers cryptés. Si ce n’est pas le cas, alors la double extorsion entre en jeu, où le groupe de rançonneurs 8Base logiciel menacera d’exposer les informations sensibles qu’il a volées dans les systèmes de l’entreprise si l’organisation continue de refuser de payer. Cette violation de données peut causer des dommages importants à la réputation de l’organisation et peut entraîner des sanctions réglementaires en raison de l’incapacité à protéger correctement les données des clients.

Comment se protéger contre 8Base logiciel rançonneur

Une attaque de logiciel rançonneur peut être dommageable et coûteuse pour une organisation. Voici quelques bonnes pratiques pour vous protéger contre les attaques de 8Base et d’autres logiciels rançonneur :

• Formation des employés en matière de sécurité : Le groupe 8Base logiciel rançonneur est connu pour utiliser les emails d’hameçonnage comme l’un de ses principaux vecteurs d’infection. Former les employés à repérer les menaces d’hameçonnage courantes et à y répondre correctement peut contribuer à réduire le risque qu’elles représentent pour l’entreprise.
• Anti-logiciel rançonneur Solutions : Les solutions anti-logiciels rançonneur peuvent utiliser l’analyse comportementale et la détection de signature pour identifier, ainsi que bloquer les infections probables de logiciels rançonneur sur un appareil. Par exemple, le logiciel rançonneur ouvre et modifie de nombreux fichiers au cours du processus de chiffrement, ce qui est un comportement inhabituel et probablement malveillant que Sécurité des solutions postales peut utiliser comme indicateur potentiel de compromission (IoC).
• Sauvegardes de données : 8Base est une variante de logiciel rançonneur à double extorsion, ce qui signifie qu’il crypte et vole des données. La mise en place de sauvegardes de données offre à l’organisation la possibilité de restaurer les données chiffrées à partir de sauvegardes, plutôt que de payer pour la clé de déchiffrement.
• Sécurité Zero-Trust : 8Base et d’autres variantes de logiciels rançonneur doivent être en mesure d’accéder à des données de grande valeur afin de les chiffrer ou de les voler. La mise en œuvre d’une sécurité Zero Trust , basée sur le principe du moindre privilège, réduit la probabilité que le logiciel malveillant puisse obtenir l’accès dont il a besoin sans être détecté.
• Authentification forte de l’utilisateur : le logiciel rançonneur peut utiliser des mots de passe faibles ou compromis pour accéder aux comptes des utilisateurs, ainsi qu’à leurs autorisations associées. La mise en œuvre de l’authentification multifacteur (MFA) peut empêcher cette méthode d’obtenir un accès initial ou une élévation de privilèges au sein des systèmes d’une entreprise.
• Segmentation : un logiciel rançonneur peut avoir besoin de parcourir le réseau d’une organisation depuis son point d’infection initiale jusqu’aux bases de données et autres cibles à forte valeur ajoutée. La segmentation du réseau rend cela plus difficile en isolant les systèmes critiques des postes de travail des employés et en facilitant la mise en œuvre et l’application des contrôles d’accès Zero Trust pour l’organisation.