De dreigingsactoren achter de 8Base-ransomware maken gebruik van een variant van de Phobos-ransomware om hun financieel gemotiveerde aanvallen uit te voeren.
De bevindingen zijn afkomstig van Cisco Talos, dat een toename van de activiteiten van cybercriminelen heeft geregistreerd.
“De meeste Phobos-varianten van de groep worden gedistribueerd door SmokeLoader, een achterdeurtrojan”, zei beveiligingsonderzoeker Guilherme Venere in een uitgebreide tweedelige analyse die vrijdag werd gepubliceerd.
“Deze commodity loader dropt of downloadt doorgaans extra payloads wanneer deze wordt ingezet. In 8Base-campagnes is de ransomware-component echter ingebed in de gecodeerde payloads, die vervolgens worden gedecodeerd en in het geheugen van het SmokeLoader-proces worden geladen.”
8Base kwam medio 2023 scherp in beeld, toen een soortgelijke piek in activiteit werd waargenomen door de cyberbeveiligingsgemeenschap. Er wordt gezegd dat het in ieder geval sinds maart 2022 actief is.
Een eerdere analyse van VMware Carbon Black in juni 2023 identificeerde parallellen tussen 8Base en RansomHouse, naast het ontdekken van een Phobos-ransomware-voorbeeld dat werd gevonden met de bestandsextensie “.8base” voor gecodeerde bestanden.
Dit vergroot de kans dat 8Base een opvolger is van Phobos of dat de bedreigingsactoren achter de operatie alleen al bestaande ransomware-varianten gebruiken om hun aanvallen uit te voeren, vergelijkbaar met de Vice Society-ransomwaregroep.
Uit de nieuwste bevindingen van Cisco Talos blijkt dat SmokeLoader wordt gebruikt als startplatform om de Phobos-payload uit te voeren, die vervolgens stappen uitvoert om persistentie tot stand te brengen, processen te beëindigen die de doelbestanden open kunnen houden, systeemherstel uit te schakelen en back-ups en schaduwbestanden te verwijderen. kopieën.
Een ander opvallend kenmerk is de volledige versleuteling van bestanden kleiner dan 1,5 MB en gedeeltelijke versleuteling van bestanden boven de drempel om het versleutelingsproces te versnellen.
Bovendien bevat het artefact een configuratie met meer dan 70 opties die zijn gecodeerd met een hardgecodeerde sleutel. De configuratie ontgrendelt extra functies zoals het omzeilen van Gebruikersaccountbeheer (UAC) en het rapporteren van een slachtofferinfectie aan een externe URL.
Er is ook een hardgecodeerde RSA-sleutel die wordt gebruikt om de AES-sleutel per bestand te beschermen die wordt gebruikt bij de codering, wat volgens Talos zou kunnen helpen bij het ontsleutelen van bestanden die door de ransomware zijn vergrendeld.
“Zodra elk bestand is gecodeerd, wordt de sleutel die bij de codering wordt gebruikt, samen met aanvullende metadata, vervolgens gecodeerd met behulp van RSA-1024 met een hardgecodeerde openbare sleutel, en aan het einde van het bestand opgeslagen”, legt Venere uit.
“Het houdt echter in dat zodra de privé RSA-sleutel bekend is, elk bestand dat sinds 2019 door een Phobos-variant is gecodeerd, betrouwbaar kan worden gedecodeerd.”
Phobos, dat voor het eerst opdook in 2019, is een evolutie van de Dharma (ook bekend als Crysis) ransomware, waarbij de ransomware zich voornamelijk manifesteert als de varianten Eking, Eight, Elbie, Devos en Faust, gebaseerd op de hoeveelheid artefacten die op VirusTotal zijn opgegraven.
“De voorbeelden bevatten allemaal dezelfde broncode en waren geconfigureerd om te voorkomen dat bestanden werden gecodeerd die andere aangesloten Phobos-bedrijven al hadden vergrendeld, maar de configuratie veranderde enigszins, afhankelijk van de variant die werd ingezet”, aldus Venere. “Dit is gebaseerd op een blokkeerlijst voor bestandsextensies in de configuratie-instellingen van de ransomware.”
Cisco Talos is van mening dat Phobos nauw wordt beheerd door een centrale autoriteit, terwijl het als ransomware-as-a-service (RaaS) wordt verkocht aan andere aangesloten bedrijven op basis van dezelfde openbare RSA-sleutel, de variaties in de contact-e-mails en regelmatige updates van de extensieblokkeringslijsten van de ransomware.
“De blokkeerlijsten voor extensies lijken een verhaal te vertellen over welke groepen in de loop van de tijd hetzelfde basismonster hebben gebruikt”, aldus Venere.
“De extensiebloklijsten die te vinden zijn in de vele Phobos-voorbeelden […] worden voortdurend bijgewerkt met nieuwe bestanden die in eerdere Phobos-campagnes zijn vergrendeld. Dit kan het idee ondersteunen dat er achter de bouwer een centrale autoriteit zit die bijhoudt wie Phobos in het verleden heeft gebruikt. De bedoeling zou kunnen zijn om te voorkomen dat Phobos-filialen zich met elkaars activiteiten bemoeien.”
De ontwikkeling komt als FalconFeeds onthuld dat een bedreigingsacteur reclame maakt voor een geavanceerd ransomwareproduct genaamd UBUD dat is ontwikkeld in C en beschikt over “sterke anti-detectiemaatregelen tegen virtuele machines en foutopsporingstools.”
Het volgt ook op een formele klacht ingediend door de BlackCat-ransomwaregroep bij de Amerikaanse Securities and Exchange Commission (SEC), waarin wordt beweerd dat een van zijn slachtoffers, MeridianLink, niet heeft voldaan aan de nieuwe openbaarmakingsregels die getroffen bedrijven verplichten het incident binnen vier bedrijven te melden. dagen, meldt DataBreaches.net.
Het financiële softwarebedrijf heeft sindsdien bevestigd dat het het doelwit was van een cyberaanval op 10 november, maar merkte op dat het geen bewijs heeft gevonden van ongeautoriseerde toegang tot zijn systemen.
Hoewel de openbaarmakingsregels van de SEC pas volgende maand, op 18 december, van kracht worden, is de ongebruikelijke druktactiek een teken dat dreigingsactoren de ruimte nauwlettend in de gaten houden en bereid zijn de overheidsregels in hun voordeel om te buigen en slachtoffers te dwingen te betalen.
Dat gezegd hebbende, is het vermeldenswaard dat de handhaving uitsluitend van toepassing is in situaties waarin de bedrijven hebben vastgesteld dat de aanvallen een ‘materiële’ impact hebben gehad op hun bedrijfsresultaten.
Een andere productieve ransomwarebende, LockBit, heeft ondertussen nieuwe onderhandelingsregels ingevoerd vanaf oktober 2023, daarbij verwijzend naar minder dan verwachte schikkingen en grotere kortingen die aan slachtoffers worden aangeboden vanwege de ‘verschillende ervaringsniveaus van aangesloten bedrijven’.
“Stel een minimaal losgeldverzoek in, afhankelijk van de jaarlijkse omzet van het bedrijf, bijvoorbeeld op 3%, en verbied kortingen van meer dan 50%”, aldus de LockBit-operatoren, volgens een gedetailleerd rapport van Analyst1.
“Dus als de omzet van het bedrijf $100 miljoen USD bedraagt, zou het initiële losgeldverzoek moeten beginnen vanaf $3 miljoen USD, terwijl de uiteindelijke uitbetaling niet minder dan $1,5 miljoen USD moet bedragen.”
