8Base Ransomware Group

Como o 8Base ransomware atua?

Normalmente, o malware 8Base ganha espaço nos ambientes-alvo por meio de e-mails de phishing ou corretores de acesso inicial. Esses são criminosos cibernéticos que obtiveram acesso à rede de uma empresa por algum meio - phishing, credenciais comprometidas, extorsão de vulnerabilidade etc. - e vendem esse acesso a outros criminosos cibernéticos na Dark Web.

Depois de infectar um computador, o 8Base atua como um ransomware de extorsão dupla, criptografando e roubando dados. Ele começa enumerando todas as unidades conectadas ao sistema e identificando os arquivos de dados nelas contidos. Esses arquivos são criptografados usando AES-256 no modo CBC e têm a extensão .8base extensão anexada a eles.

O malware também usa vários meios para evitar a detecção, aumentar a persistência e proteger contra a recuperação de dados. Algumas técnicas incluem:

• Modificação das regras do site firewall para desativar o Windows Defender Advanced firewall.
• Exclusão de Volume Shadow Copies para arquivos criptografados.
• Desativar o modo de recuperação na política de inicialização.
• Adição de persistência no Registro do Windows e na pasta de inicialização.

Além de criptografar os dados, o malware também tentará roubá-los das máquinas infectadas. Quando a criptografia e a exfiltração de dados estiverem concluídas, o malware apresentará um pedido de resgate ao proprietário do dispositivo infectado.

Depois que o pedido de resgate é apresentado, a empresa pode optar por pagar o resgate para restaurar o acesso aos seus arquivos criptografados. Se esse não for o caso, então a dupla extorsão entra em ação, em que o grupo de ransomware 8Base ameaçará expor informações confidenciais que roubou dos sistemas da empresa se a organização continuar a se recusar a pagar. Essa violação de dados pode causar danos significativos à reputação da organização e pode resultar em penalidades regulatórias devido à falha na proteção adequada dos dados dos clientes.

Como se proteger contra o 8Base ransomware

Um ataque de ransomware pode ser prejudicial e caro para uma organização. Algumas práticas recomendadas de proteção contra o 8Base e outros ataques de ransomware incluem o seguinte:

• Treinamento de segurança para funcionários: O grupo de ransomware 8Base é conhecido por usar e-mails de phishing como um de seus principais vetores de infecção. O treinamento dos funcionários para identificar e responder adequadamente às ameaças comuns de phishing pode ajudar a reduzir o risco que elas representam para a empresa.
• Anti-ransomware Solutions: As soluções antiransomware podem usar a análise comportamental e a detecção de assinaturas para identificar e bloquear prováveis infecções por ransomware em um dispositivo. Por exemplo, o site ransomware abre e modifica muitos arquivos durante o processo de criptografia, o que é um comportamento incomum e provavelmente mal-intencionado que as soluções de segurança de endpoint podem usar como um possível indicador de comprometimento (IoC).
• Backups de dados: O 8Base é uma variante de ransomware de dupla extorsão, o que significa que ele criptografa e rouba dados. A existência de backups de dados oferece à organização a opção de restaurar dados criptografados a partir de backups, em vez de pagar pela chave de descriptografia.
• Segurança Zero-Trust: o 8Base e outras variantes de ransomware precisam ser capazes de acessar dados de alto valor para criptografá-los ou roubá-los. A implementação da segurança de confiança zero , baseada no princípio do menor privilégio, reduz a probabilidade de o malware obter o acesso necessário sem ser detectado.
• Autenticação forte do usuário: O ransomware pode usar senhas fracas ou comprometidas para obter acesso às contas de usuário, bem como às permissões associadas a elas. A implementação da Autenticação multifatorial (MFA) pode impedir esse método de obter acesso inicial ou elevação de privilégios nos sistemas de uma empresa.
• Segmentação de rede: o site ransomware pode precisar percorrer a rede de uma organização desde o ponto de infecção inicial até os bancos de dados e outros alvos de alto valor. A segmentação da rede torna isso mais difícil, isolando os sistemas críticos das estações de trabalho dos funcionários e facilitando para a organização a implementação e a aplicação de controles de acesso de confiança zero.