8Base Ransomware Group

O 8Base é um grupo de ransomware que surgiu pela primeira vez em 2022, mas aumentou suas operações e refinou seus métodos significativamente em 2023. O malware começou como um crypto-ransomware, mas desde então evoluiu para realizar multi-extorsões em seus ataques. O malware é muito semelhante ao de Phobos e grupos relacionados; no entanto, não há nenhuma relação formal conhecida entre os diferentes grupos.

Solicite uma demo Saiba mais

Como o 8Base ransomware atua?

Normalmente, o malware 8Base ganha espaço nos ambientes-alvo por meio de e-mails de phishing ou corretores de acesso inicial. Esses são criminosos cibernéticos que obtiveram acesso à rede de uma empresa por algum meio - phishing, credenciais comprometidas, extorsão de vulnerabilidade etc. - e vendem esse acesso a outros criminosos cibernéticos na Dark Web.

Depois de infectar um computador, o 8Base atua como um ransomware de extorsão dupla, criptografando e roubando dados. Ele começa enumerando todas as unidades conectadas ao sistema e identificando os arquivos de dados nelas contidos. Esses arquivos são criptografados usando AES-256 no modo CBC e têm a extensão .8base extensão anexada a eles.

O malware também usa vários meios para evitar a detecção, aumentar a persistência e proteger contra a recuperação de dados. Algumas técnicas incluem:

  • Modificação das regras do site firewall para desativar o Windows Defender Advanced firewall.
  • Exclusão de Volume Shadow Copies para arquivos criptografados.
  • Desativar o modo de recuperação na política de inicialização.
  • Adição de persistência no Registro do Windows e na pasta de inicialização.

Além de criptografar os dados, o malware também tentará roubá-los das máquinas infectadas. Quando a criptografia e a exfiltração de dados estiverem concluídas, o malware apresentará um pedido de resgate ao proprietário do dispositivo infectado.

Depois que o pedido de resgate é apresentado, a empresa pode optar por pagar o resgate para restaurar o acesso aos seus arquivos criptografados. Se esse não for o caso, então a dupla extorsão entra em ação, em que o grupo de ransomware 8Base ameaçará expor informações confidenciais que roubou dos sistemas da empresa se a organização continuar a se recusar a pagar. Essa violação de dados pode causar danos significativos à reputação da organização e pode resultar em penalidades regulatórias devido à falha na proteção adequada dos dados dos clientes.

Qual é o objetivo do 8Base ransomware?

O grupo de ransomware 8Base tem como alvo empresas de vários setores verticais, incluindo finanças, manufatura, TI e saúde. Em geral, os alvos são empresas de pequeno e médio porte (SMBs) e estão localizados principalmente nos Estados Unidos, no Brasil e no Reino Unido.

Como se proteger contra o 8Base ransomware

Um ataque de ransomware pode ser prejudicial e caro para uma organização. Algumas práticas recomendadas de proteção contra o 8Base e outros ataques de ransomware incluem o seguinte:

 

  • Treinamento de segurança para funcionários: O grupo de ransomware 8Base é conhecido por usar e-mails de phishing como um de seus principais vetores de infecção. O treinamento dos funcionários para identificar e responder adequadamente às ameaças comuns de phishing pode ajudar a reduzir o risco que elas representam para a empresa.
  • Anti-ransomware Solutions: As soluções antiransomware podem usar a análise comportamental e a detecção de assinaturas para identificar e bloquear prováveis infecções por ransomware em um dispositivo. Por exemplo, o site ransomware abre e modifica muitos arquivos durante o processo de criptografia, o que é um comportamento incomum e provavelmente mal-intencionado que as soluções de segurança de endpoint podem usar como um possível indicador de comprometimento (IoC).
  • Backups de dados: O 8Base é uma variante de ransomware de dupla extorsão, o que significa que ele criptografa e rouba dados. A existência de backups de dados oferece à organização a opção de restaurar dados criptografados a partir de backups, em vez de pagar pela chave de descriptografia.
  • Segurança Zero-Trust: o 8Base e outras variantes de ransomware precisam ser capazes de acessar dados de alto valor para criptografá-los ou roubá-los. A implementação da segurança de confiança zero , baseada no princípio do menor privilégio, reduz a probabilidade de o malware obter o acesso necessário sem ser detectado.
  • Autenticação forte do usuário: O ransomware pode usar senhas fracas ou comprometidas para obter acesso às contas de usuário, bem como às permissões associadas a elas. A implementação da Autenticação multifatorial (MFA) pode impedir esse método de obter acesso inicial ou elevação de privilégios nos sistemas de uma empresa.
  • Segmentação de rede: o site ransomware pode precisar percorrer a rede de uma organização desde o ponto de infecção inicial até os bancos de dados e outros alvos de alto valor. A segmentação da rede torna isso mais difícil, isolando os sistemas críticos das estações de trabalho dos funcionários e facilitando para a organização a implementação e a aplicação de controles de acesso de confiança zero.

Evite ataques de ransomware com Check Point

A prevenção é o único meio eficaz de gerenciar a ameaça do ransomware. Quando o ransomware começa a criptografar ou exfiltrar dados, o dano já está feito. Para saber mais sobre como evitar ataques ao ransomware e eliminar seu possível custo para a organização, consulte o Guia do CISO para Prevenção do ransomware .

Check Point's Harmony Endpoint oferece proteção contra uma ampla gama de ameaças à segurança do endpoint. Isso inclui proteção robusta contra ransomware, além de detectar e bloquear uma grande variedade de outros tipos de malware. Para saber mais sobre o site Harmony Endpoint e o que ele pode fazer por sua empresa, inscreva-se para receber um demo gratuito hoje mesmo.

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, o senhor concorda com o uso de cookies. Para obter mais informações, leia nosso Aviso de cookies.
OK