2023年5月和6月，勒索軟件活動的大規(guī)模激增歸因于一個相對不知名的勒索軟件組織8Base。

研究人員稱，“雖然8Base勒索軟件組織不一定是一個新組織，但他們最近活動的激增吸引了廣泛關注。甚至在過去的30天里，它已成功問鼎Top2勒索組織之列。關于8Base使用的勒索軟件類型，公眾所知不多，只知道它的贖金通知，以及它以‘.8base’擴展名附加加密文件?！?/p>

該組織利用加密與“點名羞辱”技術相結合，迫使受害者支付贖金。VMware表示，8Base最近對不同行業(yè)的受害者采取了機會主義的妥協(xié)模式。

據(jù)了解，8Base是一個勒索軟件組織，自2022年3月以來一直活躍。該組織將自身描述為“誠實而簡單的滲透測試者”。他們的泄密網(wǎng)站通過常見問題和規(guī)則部分提供了受害者的詳細信息，以及多種聯(lián)系該組織的方式。

截至2023年5月，該組織已關聯(lián)67起攻擊事件，其中約一半的受害者來自商業(yè)服務、制造業(yè)和建筑業(yè)。根據(jù)Malwarebytes和NCC Group收集的統(tǒng)計數(shù)據(jù)顯示，大多數(shù)被攻擊的公司位于美國和巴西。

與RansomHouse相似

在審查8Base時，研究人員注意到8Base組織與另一個名為RansomHouse的組織之間存在顯著的相似之處。

VMware在報告中表示，“RansomHouse是否是一個真正的勒索軟件組織還有待商榷;該組織購買已經(jīng)泄露的數(shù)據(jù)，與數(shù)據(jù)泄露網(wǎng)站合作，然后勒索公司錢財?！?/p>

研究人員比較了兩個組織的贖金通知，發(fā)現(xiàn)在語言組織方面存在99%的一致性。此外，兩個組織泄密網(wǎng)站的語言也是相同的。

VMware表示，“這些措辭可以說是逐字逐句地從RansomHouse的歡迎頁面復制到了8Base的歡迎頁面。這兩個組織之間唯一的兩個主要區(qū)別是，RansomHouse會宣傳其合作伙伴關系，并公開招募合作伙伴，而8Base則不會。鑒于兩者之間的相似性，我們提出了一個問題，即8Base是否可能是RansomHouse的衍生品或模仿者。RansomHouse以使用黑市上各種各樣的勒索軟件而聞名，并且沒有自己的簽名勒索軟件作為比較的基礎。有趣的是，在研究8Base時，我們也沒能找到一個勒索軟件變種。”

與Phobos勒索軟件相似

在搜索8Base組織使用的勒索軟件樣本時，研究人員發(fā)現(xiàn)了類似于Phobos樣本的屬性。將Phobos和8Base的樣本進行比較后發(fā)現(xiàn)，8Base使用的是裝載了SmokeLoader的Phobos 2.9.1版本。

Phobos勒索軟件以勒索軟件即服務(RaaS)的形式提供。其他威脅行為者可以根據(jù)他們的需求定制部件，如8Base勒索通知所示。

VMware表示，“盡管這兩個組織的勒索信息很相似，但關鍵的區(qū)別在于Phobos勒索軟件的上下部分有Jabber指令和‘Phobos’，而8Base勒索軟件的上角有‘cartilage’，背景是紫色的，且沒有Jabber指令?！?/p>

最后，VMware警告稱，“考慮到8Base這頭‘野獸’的性質(zhì)，我們目前只能推測，他們正在使用多種不同類型的勒索軟件——要么是早期的變種，要么是正常操作程序的一部分。我們所知道的是，這個群體非常活躍，目標是小型企業(yè)。”