8Base Ransomware Group

8Base è un gruppo di ransomware emerso per la prima volta nel 2022, ma nel 2023 ha intensificato le sue operazioni e perfezionato significativamente i suoi metodi. Il malware è iniziato come cripto-ransomware ma da allora si è evoluto per eseguire attacchi multi-estorsione. Il malware è molto simile a quello di Phobos e gruppi affini; tuttavia, non esiste una relazione formale nota tra i diversi gruppi.

Richiedi una Demo Per saperne di più

Come agisce il ransomware 8Base?

Solitamente il malware 8Base riesce a imporsi negli ambienti presi di mira tramite e-mail di phishing o tramite intermediari di accesso iniziale. Si tratta di criminali informatici che hanno ottenuto l'accesso alla rete di un'azienda tramite alcuni mezzi (phishing, credenziali compromesse, estorsione di vulnerabilità, ecc.) e vendono tale accesso ad altri criminali informatici sul Dark Web.

Una volta infettato un computer, 8Base agisce come un ransomware a doppia estorsione, crittografando e rubando dati. Inizia enumerando tutte le unità collegate al sistema e identificando i file di dati al loro interno. Questi file vengono quindi crittografati utilizzando AES-256 in modalità CBC e hanno la base .8 estensione ad essi collegata.

Il malware utilizza inoltre vari mezzi per eludere il rilevamento, aggiungere persistenza e proteggere dal recupero dei dati. Alcune tecniche includono:

  • Modifica delle regole firewall per disabilitare firewall di Windows Defender Advanced.
  • Eliminazione delle copie shadow del volume per i file crittografati.
  • Disabilitazione della modalità di ripristino nei criteri di avvio.
  • Aggiunta della persistenza nel Registro di sistema e nella cartella di avvio di Windows.

Oltre a crittografare i dati, il malware tenterà anche di rubarli dalle macchine infette. Una volta completata la crittografia e l’esfiltrazione dei dati, il malware presenterà una richiesta di riscatto al proprietario del dispositivo infetto.

Dopo aver presentato la richiesta di riscatto, l'azienda può scegliere di pagare il riscatto per ripristinare l'accesso ai propri file crittografati. In caso contrario, entra in gioco la doppia estorsione, in cui il gruppo ransomware 8Base minaccerà di rivelare informazioni sensibili che ha rubato dai sistemi dell'azienda se l'organizzazione continua a rifiutarsi di pagare. Questa violazione dei dati può causare danni significativi alla reputazione dell'organizzazione e può comportare sanzioni normative a causa della mancata protezione adeguata dei dati dei clienti.

Che cosa prende di mira il ransomware 8Base?

Il gruppo ransomware 8Base prende di mira aziende di vari settori verticali, tra cui finanza, produzione, IT e sanità. In generale, gli obiettivi sono le piccole e medie imprese (PMI) e si trovano principalmente negli Stati Uniti, in Brasile e nel Regno Unito.

Come proteggersi dal ransomware 8Base

Un attacco ransomware può essere dannoso e costoso per un’organizzazione. Alcune best practice per la protezione da 8Base e altri attacchi ransomware includono quanto segue:

 

  • Formazione sulla sicurezza dei dipendenti: il gruppo ransomware 8Base è noto per utilizzare le e-mail di phishing come uno dei principali vettori di infezione. Formare i dipendenti affinché individuino e rispondano adeguatamente alle comuni minacce di phishing può aiutare a ridurre il rischio che rappresentano per l'azienda.
  • Soluzioni anti-ransomware: Le soluzioni anti-ransomware possono utilizzare l'analisi comportamentale e il rilevamento delle firme per identificare e bloccare probabili infezioni ransomware su un dispositivo. Ad esempio, ransomware apre e modifica molti file durante il processo di crittografia, un comportamento insolito e probabilmente dannoso che le soluzioni Endpoint Security possono utilizzare come potenziale indicatore di compromissione (IoC).
  • Backup dei dati: 8Base è una variante del ransomware a doppia estorsione, il che significa che crittografa e ruba i dati. Disporre di backup dei dati offre all'organizzazione la possibilità di ripristinare i dati crittografati dai backup, anziché pagare per la chiave di decrittografia.
  • Sicurezza Zero-Trust: 8Base e altre varianti di ransomware devono essere in grado di accedere a dati di alto valore per crittografarli o rubarli. L’implementazione della sicurezza zero-trust , basata sul principio del privilegio minimo, riduce la probabilità che il malware possa ottenere l’accesso di cui ha bisogno senza essere rilevato.
  • Autenticazione utente forte: il ransomware può utilizzare password deboli o compromesse per ottenere l'accesso agli account utente e alle relative autorizzazioni. L'implementazione dell'autenticazione a più fattori (MFA) può impedire a questo metodo di ottenere l'accesso iniziale o l'elevazione dei privilegi all'interno dei sistemi di un'azienda.
  • Segmentazione della rete: ransomware potrebbe dover viaggiare attraverso la rete di un'organizzazione dal punto di infezione iniziale fino ai database e ad altri obiettivi di alto valore. La segmentazione della rete rende tutto ciò più difficile isolando i sistemi critici dalle postazioni di lavoro dei dipendenti e rendendo più semplice per l’organizzazione implementare e applicare controlli di accesso Zero Trust.

Prevenire gli attacchi ransomware con Check Point

La prevenzione è l’unico mezzo efficace per gestire la minaccia ransomware. Una volta che il ransomware ha iniziato a crittografare o esfiltrare i dati, il danno è già stato fatto. Per saperne di più su come prevenire gli attacchi ransomware ed eliminare i potenziali costi per l'organizzazione, consulta la Guida del CISO alla prevenzione ransomware .

Check Pointdi Harmony Endpoint offre protezione contro un'ampia gamma di Endpoint Security minacce . Ciò include una solida protezione anti-ransomware oltre al rilevamento e al blocco di un'ampia gamma di altri tipi di malware. Per saperne di più su Harmony Endpoint e su cosa può fare per la tua azienda, iscriviti oggi stesso per una demo gratuita.

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativacookies .
OK