Активность атак программ-вымогателей 8Base резко возросла
30 июня 2023 г.Согласно сообщению в блоге VMware, опубликованному в среду, группа вымогателей, которая любит стыдить организации, заставляя их платить выкуп, продемонстрировала всплеск активности. Группа, известная как 8Base, активна с марта 2022 года, но недавно она заняла второе место по количеству жертв среди известных банд вымогателей.
Перейти к:
- Недавняя активность группы вымогателей 8Base
Кто входит в группу вымогателей 8Base?
Как защитить свою организацию от 8Base и других программ-вымогателей
Недавняя активность группы вымогателей 8Base
Анализируя атаки программ-вымогателей в июне 2023 года, VMware обнаружила, что 8Base поразила почти 80 жертв за последние 30 дней (рис. A), уступая только банде LockBit 3, которая взломала почти 100 организаций. Другие группы программ-вымогателей с высокой активностью за этот период включали ALPHV (BlackCat) с почти 40 жертвами, BianLian с более чем 30 жертвами и Nokoyawa с более чем 25 жертвами.
Рисунок А
Ориентируясь на такие сектора, как бизнес-услуги, финансы, производство и ИТ, 8Base известна тем, что использует тактику двойного вымогательства «имя и позор», в которой группа угрожает опубликовать зашифрованные файлы, если не будет выплачен выкуп. Идея состоит в том, чтобы поставить жертву в неловкое положение, раскрывая личную или конфиденциальную информацию, которая может нанести ущерб их бренду или репутации.
Кто входит в группу вымогателей 8Base?
По словам VMware, несмотря на всплеск атак программ-вымогателей, организованных 8Base, подробности о личности группы, методах и мотивах в значительной степени остаются загадкой. Однако, судя по сайту утечки и общедоступным учетным записям, а также сообщениям группы, ее вербальный стиль очень похож на стиль RansomHouse, группы, которая обычно покупает уже скомпрометированные данные или работает с сайтами утечки данных для вымогательства у жертв.
Анализируя заметки о выкупе как от 8Base, так и от RansomHouse, VMware обнаружила 99-процентное совпадение в многословии. Страница приветствия 8Base, страница условий обслуживания и страница часто задаваемых вопросов дословно скопированы с RansomHouse. Одно отличие в сообщениях заключается в том, что RansomHouse открыто ищет партнерские отношения с другими преступными группировками, а 8Base — нет.
Еще одна общая черта между двумя группами заключается в выборе программ-вымогателей. И 8Base, и RansomHouse используют различные штаммы программ-вымогателей, в том числе вариант, известный как Phobos. В конечном счете сходство вызывает вопросы о том, является ли 8Base просто ответвлением RansomHouse.
«Учитывая природу зверя, которым является 8Base, в настоящее время мы можем только предполагать, что они используют несколько различных типов программ-вымогателей либо в качестве более ранних вариантов, либо в рамках своих обычных операционных процедур», — говорится в сообщении VMware в блоге. «Что мы действительно знаем, так это то, что эта группа очень активна и нацелена на малый бизнес».
Сайт утечки 8Base и общедоступные аккаунты
На сайте утечки 8Base описывает себя как «простых пен-тестеров». Сайт предлагает жертвам инструкции с разделами «Часто задаваемые вопросы» и «Правила», а также несколько способов связаться с группой. У 8Base также есть официальный канал в службе обмена сообщениями Telegram и учетная запись в Twitter (рис. B).
Рисунок Б
Как защитить свою организацию от 8Base и других программ-вымогателей
«С точки зрения обнаружения программ-вымогателей цель состоит в том, чтобы помочь организациям обнаружить программы-вымогатели на ранней стадии, свести к минимуму ущерб, причиненный атакой, и как можно быстрее восстановиться после атаки», — говорится в сообщении отдела анализа угроз VMware.
С этой целью эффективная стратегия обнаружения и восстановления программ-вымогателей включает следующие три компонента:
- Предотвращение: это первая линия защиты от атак программ-вымогателей. Для предотвращения атаки необходимо постоянно обновлять критически важные системы и программное обеспечение, применять передовые методы обеспечения безопасности и обучать своих сотрудников тому, как обнаруживать фишинговые атаки и уклоняться от них.
Обнаружение. Для выявления атак программ-вымогателей требуются расширенные инструменты обнаружения. Ключевым аспектом здесь является защита конечных точек, которая использует поведенческий анализ и машинное обучение для поиска любой необычной активности или поведения в вашей сети.
Реагирование: После обнаружения программы-вымогателя вам необходимо быстро отреагировать, чтобы свести к минимуму ущерб. Такой ответ влечет за собой изоляцию зараженных систем, помещение пораженных файлов в карантин и предотвращение распространения ущерба на другие системы.
Оригинал