Negli ultimi tempi, il panorama della cybersecurity ha visto l’emergere di un nuovo e preoccupante attore: il gruppo 8Base.

Attivo dal 2023, questa cybergang si è rapidamente distinta per la sua abilità nell’eseguire attacchi informatici mirati e altamente sofisticati.
Il gruppo è specializzato in attacchi ransomware ed ha guadagnato notorietà per la sua capacità di infiltrarsi in sistemi critici, colpendo principalmente aziende nei settori finanziario, produzione meccanica, la tecnologia dell’informazione e sanitario.

In questo articolo, esploreremo il profilo di 8Base, analizzando le sue metodologie di attacco, i bersagli preferiti e le misure di difesa che possono essere adottate per contrastare le sue incursioni.

8base ransomware

Definizione

Il gruppo di ransomware 8Base è emerso, nella sua forma attuale, all’inizio del 2023.

Nel maggio 2023, il gruppo ha adottato un modello di estorsione multipla, includendo un sito blog delle vittime basato su TOR.

Tuttavia, le operazioni possono essere fatte risalire a campagne più piccole nel 2022. Il ransomware 8Base presenta alcune somiglianze superficiali con altre famiglie di ransomware ed estorsione come Phobos, RansomHouse e Hive, anche se non sono stati confermati legami o relazioni formali.

Analisi tecnica del funzionamento di 8base Ransomware

Fase 1: Infiltrazione e persistenza

Un attacco ransomware come 8base inizia tipicamente con una fase di infiltrazione.
Gli attaccanti sfruttano vulnerabilità note (come exploit zero-day, tecniche di ingegneria sociale o attacchi di phishing) per distribuire e far penetrare in azienda il payload del ransomware. In alcuni casi, viene utilizzata una tecnica chiamata “living off the land“, nella quale gli strumenti legittimi del sistema sono usati per eseguire attività malevole, rendendo più difficile la rilevazione.

Una volta all’interno del sistema, 8base cerca di ottenere i privilegi elevati tramite tecnica escalation di privilegi, sfruttando vulnerabilità nel sistema operativo o nei software installati. Questo gli permette di installare componenti aggiuntivi per mantenere la persistenza all’interno del sistema, come la modifica del Registro di sistema di Windows o la programmazione di task automatici tramite Task Scheduler.

Fase 2: Evasione e Lateral Movement

8base è progettato per evitare la rilevazione da parte di gran parte delle soluzioni antimalware, utilizzando tecniche di obfuscation del codice e mimetizzazione del traffico di rete. Utilizza algoritmi di crittografia come AES o RSA per proteggere la comunicazione con i server di comando e controllo (C2).

Il ransomware esplora la rete interna (lateral movement) utilizzando tecniche come pass-the-hash o exploit di vulnerabilità di rete per diffondersi anche in altri sistemi e server. Questo aumenta il potenziale impatto dell’attacco, permettendo al ransomware di colpire più obiettivi all’interno dell’organizzazione.

Fase 3: Esfiltrazione e crittografia dei dati

Prima di procedere con la crittografia, 8base può esfiltrare dati sensibili. Il ransomware utilizza protocolli sicuri come HTTPS o tunneling VPN per trasferire dati a server esterni, aumentando la posta in gioco dell’attacco (doppia estorsione).

Segue naturalmente il processo di crittografia dei file. 8base implementa un robusto algoritmo di crittografia asimmetrica, che genera chiavi uniche per ogni vittima. I file vengono cifrati e rinominati con estensioni specifiche, rendendo impossibile l’accesso senza la chiave di decrittografia.

Fase 4: Richiesta di riscatto e comunicazione

Dopo la crittografia, 8base lascia una nota di riscatto con istruzioni su come pagare (generalmente in Bitcoin o altra criptovaluta) per ottenere la chiave di decrittografia. Le note di riscatto 8Base vengono scritte nelle cartelle interessate sia come file di testo che .HTA. La comunicazione con le vittime avviene spesso attraverso server Tor per mantenere l’anonimato degli attaccanti.

Fase 5: Pulizia e Prevenzione della recupero dati

Per prevenire tentativi di recupero dei dati, 8base può cancellare le shadow volume copy e disabilitare servizi di backup o ripristino di sistema.
Questa tattica rende più difficile il recupero dei dati senza pagare il riscatto.

Il target delle vittime

Le campagne ransomware 8Base hanno preso di mira numerose organizzazioni appartenenti a settori diversi, tra cui:

  • finanza
  • produzione
  • tecnologia dell’informazione
  • sanità.

Ad oggi, la maggior parte delle vittime si trova negli Stati Uniti e in Brasile, ma anche in Italia sono state colpite molte aziende.
I metodi di accesso delle campagne 8Base variano, ma generalmente la minaccia si diffonde prettamente tramite e-mail di phishing o l’uso di broker di accesso iniziali (IAB).

Impatto degli Attacchi 8base Ransomware

Quando il ransomware 8base colpisce, le conseguenze per le aziende vanno ben oltre la semplice perdita di dati: si tratta di un’ondata devastante che altera l’intera dinamica operativa, finanziaria e reputazionale delle organizzazioni colpite.

1. Uno degli impatti immediati dell’attacco ransomware è la paralisi delle operazioni aziendali.
Quando i file critici vengono criptati, le attività quotidiane possono essere gravemente compromesse, portando a una significativa perdita di produttività.

2. Il costo di un attacco ransomware non si limita al riscatto richiesto. Include anche le spese per la consulenza legale, i servizi di recupero dei dati, le misure di sicurezza rafforzate post-attacco e le possibili sanzioni per la violazione dei dati.

3. Le aziende colpite da 8base subiscono un grave danno reputazionale. La fiducia dei clienti e dei partner può essere erosa, soprattutto se i dati sensibili vengono compromessi o divulgati pubblicamente.

4. Nonostante il pagamento del riscatto, non c’è garanzia che i dati criptati verranno recuperati.
Questa perdita di dati può avere ripercussioni a lungo termine, soprattutto per le aziende che dipendono da dati storici o sensibili.

5. Le aziende devono anche affrontare potenziali implicazioni legali, specialmente se l’attacco comporta la violazione dei dati personali, violando così le normative sulla privacy dei dati come il GDPR.

Strategie efficaci di cybersecurity per proteggersi

Difendere la tua azienda dal Ransomware 8base

Nell’ambito della difesa contro il ransomware 8base, un’azienda può avvalersi dell’essenziale supporto di un partner specializzato in cybersecurity.
Questa collaborazione si focalizza su due fronti principali: il rafforzamento delle infrastrutture di sicurezza informatica e la formazione del personale.

Inizialmente, il partner di cybersecurity effettua un’analisi dettagliata delle reti e dei sistemi IT dell’azienda, individuando vulnerabilità e punti deboli che potrebbero essere sfruttati da attacchi ransomware. Sulla base di questa valutazione, vengono implementate soluzioni di sicurezza avanzate.

Queste includono l‘installazione di firewall di ultima generazione e software antivirus, l’attivazione di sistemi di rilevamento e prevenzione delle intrusioni (IDS/IPS), e la protezione di tutti i dispositivi connessi alla rete attraverso soluzioni di sicurezza per endpoint. Tali misure sono fondamentali per intercettare e neutralizzare tentativi di attacco come quelli orchestrati da 8base, limitando la loro potenziale diffusione all’interno dell’organizzazione.

Parallelamente, il partner organizza sessioni formative per i dipendenti, focalizzandosi sulla capacità di riconoscere e segnalare tentativi di phishing e strategie di ingegneria sociale, che rappresentano le vie di accesso più comuni per i ransomware. Una corretta informazione e preparazione del personale rappresenta una linea di difesa cruciale, riducendo significativamente il rischio di infezioni da malware.