8Base Ransomware Group

Come agisce il ransomware 8Base?

Solitamente il malware 8Base riesce a imporsi negli ambienti presi di mira tramite e-mail di phishing o tramite intermediari di accesso iniziale. Si tratta di criminali informatici che hanno ottenuto l'accesso alla rete di un'azienda tramite alcuni mezzi (phishing, credenziali compromesse, estorsione di vulnerabilità, ecc.) e vendono tale accesso ad altri criminali informatici sul Dark Web.

Una volta infettato un computer, 8Base agisce come un ransomware a doppia estorsione, crittografando e rubando dati. Inizia enumerando tutte le unità collegate al sistema e identificando i file di dati al loro interno. Questi file vengono quindi crittografati utilizzando AES-256 in modalità CBC e hanno la base .8 estensione ad essi collegata.

Il malware utilizza inoltre vari mezzi per eludere il rilevamento, aggiungere persistenza e proteggere dal recupero dei dati. Alcune tecniche includono:

• Modifica delle regole firewall per disabilitare firewall di Windows Defender Advanced.
• Eliminazione delle copie shadow del volume per i file crittografati.
• Disabilitazione della modalità di ripristino nei criteri di avvio.
• Aggiunta della persistenza nel Registro di sistema e nella cartella di avvio di Windows.

Oltre a crittografare i dati, il malware tenterà anche di rubarli dalle macchine infette. Una volta completata la crittografia e l’esfiltrazione dei dati, il malware presenterà una richiesta di riscatto al proprietario del dispositivo infetto.

Dopo aver presentato la richiesta di riscatto, l'azienda può scegliere di pagare il riscatto per ripristinare l'accesso ai propri file crittografati. In caso contrario, entra in gioco la doppia estorsione, in cui il gruppo ransomware 8Base minaccerà di rivelare informazioni sensibili che ha rubato dai sistemi dell'azienda se l'organizzazione continua a rifiutarsi di pagare. Questa violazione dei dati può causare danni significativi alla reputazione dell'organizzazione e può comportare sanzioni normative a causa della mancata protezione adeguata dei dati dei clienti.

Come proteggersi dal ransomware 8Base

Un attacco ransomware può essere dannoso e costoso per un’organizzazione. Alcune best practice per la protezione da 8Base e altri attacchi ransomware includono quanto segue:

• Formazione sulla sicurezza dei dipendenti: il gruppo ransomware 8Base è noto per utilizzare le e-mail di phishing come uno dei principali vettori di infezione. Formare i dipendenti affinché individuino e rispondano adeguatamente alle comuni minacce di phishing può aiutare a ridurre il rischio che rappresentano per l'azienda.
• Soluzioni anti-ransomware: Le soluzioni anti-ransomware possono utilizzare l'analisi comportamentale e il rilevamento delle firme per identificare e bloccare probabili infezioni ransomware su un dispositivo. Ad esempio, ransomware apre e modifica molti file durante il processo di crittografia, un comportamento insolito e probabilmente dannoso che le soluzioni Endpoint Security possono utilizzare come potenziale indicatore di compromissione (IoC).
• Backup dei dati: 8Base è una variante del ransomware a doppia estorsione, il che significa che crittografa e ruba i dati. Disporre di backup dei dati offre all'organizzazione la possibilità di ripristinare i dati crittografati dai backup, anziché pagare per la chiave di decrittografia.
• Sicurezza Zero-Trust: 8Base e altre varianti di ransomware devono essere in grado di accedere a dati di alto valore per crittografarli o rubarli. L’implementazione della sicurezza zero-trust , basata sul principio del privilegio minimo, riduce la probabilità che il malware possa ottenere l’accesso di cui ha bisogno senza essere rilevato.
• Autenticazione utente forte: il ransomware può utilizzare password deboli o compromesse per ottenere l'accesso agli account utente e alle relative autorizzazioni. L'implementazione dell'autenticazione a più fattori (MFA) può impedire a questo metodo di ottenere l'accesso iniziale o l'elevazione dei privilegi all'interno dei sistemi di un'azienda.
• Segmentazione della rete: ransomware potrebbe dover viaggiare attraverso la rete di un'organizzazione dal punto di infezione iniziale fino ai database e ad altri obiettivi di alto valore. La segmentazione della rete rende tutto ciò più difficile isolando i sistemi critici dalle postazioni di lavoro dei dipendenti e rendendo più semplice per l’organizzazione implementare e applicare controlli di accesso Zero Trust.