Uma gangue de ransomware chamada 8Base foi o segundo grupo mais ativo em junho de 2023, fazendo cerca de 30 vítimas, informa a VMware.
Ativo desde março de 2022 e focado principalmente em pequenas empresas, o grupo se envolve em táticas de dupla extorsão, nomeando e envergonhando publicamente as vítimas para obrigá-las a pagar o resgate.
Até hoje, o 8Base gang atingiu aproximadamente 80 organizações em setores como automotivo, serviços empresariais, construção, finanças, saúde, hotelaria, TI, manufatura e imóveis.
Ao analisar a atividade do grupo, a VMware identificou uma semelhança com outra gangue de ransomware relativamente desconhecida, a RansomHouse, conhecida por comprar dados vazados e depois extorquir empresas por dinheiro.
Segundo a VMware, foram encontradas semelhanças no estilo de comunicação e na nota de resgate, com os sites de vazamento dos grupos usando linguagem quase idêntica, embora visuais diferentes. A principal diferença entre os dois grupos é o fato de que, enquanto a RansomHouse está recrutando parceiros abertamente, a 8Base não está.
“Dada a semelhança entre os dois, fomos questionados se o 8Base pode ser um desdobramento do RansomHouse ou um imitador. Infelizmente, a RansomHouse é conhecida por usar uma ampla variedade de ransomware que está disponível em mercados obscuros e não possui sua própria assinatura de ransomware como base de comparação”, observa a VMware.
Como o RansomHouse, descoberto pela VMware, o 8Base parece estar usando várias variantes de ransomware, com uma família comum a ambos, a saber, Phobos. Na verdade, o 8Base foi visto usando notas de resgate que correspondem tanto à RansomHouse quanto à Phobos.
A Phobos opera sob o modelo de negócios ransomware como serviço (RaaS), e o 8Base pode tê-lo adotado dessa forma, personalizando o malware para anexar a extensão ‘.8base’ aos arquivos criptografados.
Segundo a VMware, que fornece indicadores de comprometimento associados à atividade da gangue, é possível que o 8Base tenha usado diferentes tipos de ransomware como parte de sua operação normal.
“Se o 8Base é uma ramificação do Phobos ou do RansomHouse, ainda não se sabe. É interessante que o 8Base seja quase idêntico ao RansomHouse e use o ransomware Phobos. No momento, o 8Base continua sendo um dos principais grupos de ransomware ativos neste verão (2023)”, conclui a VMware.