logo SOS Ransomware
Emergencia 24/7

El irresistible ascenso del ransomware 8Base: comprender la amenaza y cómo defenderse de ella

En el cambiante panorama de la ciberseguridad, el ransomware 8Base se perfila como una amenaza formidable. Activo desde 2022, este grupo registró un pico de actividad en 2023, situándose junto a nombres tan conocidos como Cl0p y Lockbit. 8Base ha evolucionado rápidamente, distinguiéndose por sus ataques dirigidos y su hábil explotación de las vulnerabilidades digitales. Pero, ¿qué hace único a 8Base en el mundo de las ciberamenazas? El grupo utiliza técnicas avanzadas de cifrado y estrategias de exfiltración de datos, sometiendo a las organizaciones a una inmensa presión para que paguen rescates en criptomoneda. A medida que los ataques de ransomware se vuelven cada vez más sofisticados, comprender a grupos como 8Base es crucial para reforzar nuestras defensas y proteger nuestros activos digitales.

Contexto y aparición de 8Base

La aparición y el impacto del ransomware 8Base son significativos en el panorama de la ciberseguridad. Aparecido por primera vez en 2022, 8Base adquirió notoriedad rápidamente en 2023, adoptando un modelo de extorsión múltiple que incluía un sitio de víctimas basado en TOR. Aunque superficialmente es similar a otras familias de ransomware como Phobos, RansomHouse y Hive, 8Base destaca por sus métodos de ataque selectivos, dirigidos a una variedad de industrias, incluyendo finanzas, fabricación, TI y atención sanitaria. A diferencia de otros grupos de ransomware, 8Base ha optado por un enfoque más discreto, dirigiéndose principalmente a pequeñas y medianas empresas (PYME) de diversos sectores. La mayoría de sus víctimas se encuentran en Estados Unidos (36%), Brasil (15%) y Reino Unido (10%). Sin embargo, como muestran nuestros informes de noviembre y diciembre de 2023, 8Base ha sido especialmente activo en Francia, situándose junto a LockBit 3.0 como la amenaza de ransomware dominante.

Desde su creación, 8Base se ha distinguido por su doble táctica de extorsión, amenazando con publicar los archivos cifrados si no se paga el rescate, una estrategia que ha aumentado rápidamente su notoriedad en el mundo de las ciberamenazas. Ante este aumento de poder, se han intensificado las respuestas de las autoridades y los expertos en ciberseguridad, que tratan de contrarrestar la creciente influencia de 8Base en el ámbito de las ciberamenazas. En mayo de 2023, 8Base publicó datos de 67 víctimas, poniendo de manifiesto su rápido ascenso y su importante impacto en el panorama del ransomware.

Vulnerabilidad de las PYME a 8Base

El grupo de ransomware 8Base destaca por dirigirse específicamente a pequeñas y medianas organizaciones, que tienen menos probabilidades de contar con medidas de seguridad sólidas. » En general, las organizaciones pequeñas y medianas tienen más dificultades para asignar presupuestos de seguridad y sufren carencias de ciberseguridad, lo que supone un cóctel peligroso cuando un grupo de ransomware como 8Base se dirige a ellas», afirma Anish Bogati, ingeniero de investigación de seguridad de Logpoint. «Las organizaciones pequeñas y medianas, en particular, deberían familiarizarse con 8Base y, lo que es más importante, reforzar sus medidas de seguridad para defenderse de él. Comprender al adversario es la clave para desarrollar mejores estrategias de defensa». Este enfoque en las PYME subraya la importancia de que estas organizaciones tomen medidas proactivas para mejorar su ciberseguridad y protegerse de los ataques de ransomware. Para obtener información más detallada, puede encontrar el enlace al informe completo de Logpoint al final de este artículo.

L'activité du groupe de ransomware 8Base, diagramme Logpoint
Fuente © Logpoint

La actividad del grupo de ransomware 8Base desde mayo de 2023, les sitúa entre los cinco grupos más activos, tal y como muestran las estadísticas de ransomware.live destacadas por Logpoint en este diagrama.

Tácticas y métodos de ataque del ransomware 8Base

Activo desde abril de 2022, 8Base ha ganado notoriedad rápidamente por sus tácticas agresivas y el importante número de víctimas que se ha cobrado. El grupo utiliza técnicas avanzadas de ingeniería social para infiltrarse en las redes de las víctimas. Los ataques de phishing selectivo y los kits de exploits son sus principales vectores de entrada, a menudo aprovechando vulnerabilidades no parcheadas en software de uso común.

La estrategia «name and shame» de 8Base

Una característica distintiva de las operaciones de 8Base es el uso de la táctica de «nombrar y avergonzar». Este método consiste en publicar los nombres de las víctimas que no cumplen las peticiones de rescate, lo que aumenta la presión y la urgencia para que las empresas afectadas respondan. Al revelar los nombres de las organizaciones afectadas en su sitio basado en TOR y en otras plataformas, 8Base busca no sólo avergonzar a las víctimas, sino también presionarlas para que paguen el rescate y evitar daños a su reputación. Esta doble estrategia de extorsión, que combina el cifrado de datos con la amenaza de divulgación pública, ha resultado eficaz para 8Base, aumentando su notoriedad y su éxito en la extracción de rescates.

Capture d'écran du site du groupe 8Base ransomware
Captura de pantalla del sitio web del grupo ransomware 8Base

Comparación con RansomHouse

Según un estudio de WMware, las operaciones de 8Base guardan sorprendentes similitudes con las de RansomHouse, lo que plantea interrogantes sobre su naturaleza: ¿se trata de grupos separados o de operaciones coordinadas de exfiltración de datos? Los análisis de seguridad han revelado una coincidencia casi perfecta (99%) entre las notas de rescate de 8Base y RansomHouse, así como una similitud en el lenguaje utilizado en sus sitios, especialmente en las secciones de inicio, condiciones de uso y preguntas frecuentes.

Uso del ransomware Phobos

No está claro si 8Base es una extensión de RansomHouse o un simple imitador. RansomHouse utiliza varios ransomwares disponibles en el mercado negro, y una muestra asociada a 8Base corresponde a la versión 2.9.1 de Phobos, un ransomware disponible como servicio (RaaS). Además, 8Base utiliza una versión personalizada del ransomware Phobos, distribuida principalmente a través de SmokeLoader, un troyano backdoor. Este método permite a 8Base integrar el componente ransomware en sus cargas útiles cifradas, que luego se descifran y ejecutan en la memoria del proceso SmokeLoader, como se describe detalladamente en el artículo de Cisco Talos sobre el tema. Una vez dentro de la red de la víctima, el ransomware 8Base Phobos cifra inmediatamente los datos, afectando a todas las unidades locales y volúmenes compartidos en red. Este método de ataque rápido y sigiloso hace que 8Base sea especialmente peligroso, capaz de causar daños generalizados antes de que las víctimas detecten la intrusión.

Processus decryptage charge utile SmokeLoader, source Talos
Proceso de descifrado de la carga útil incrustada SmokeLoader. Fuente © Talos

Aunque los métodos de acceso inicial varían, se ha observado el uso de intermediarios de acceso inicial (IAB). Una vez dentro de la red de la víctima, 8Base cifra rápida y eficazmente los datos utilizando un sofisticado algoritmo de cifrado, que incluye AES256 en modo CBC, para bloquear los archivos. Este método de cifrado hace que los datos sean inaccesibles sin la clave única proporcionada por los atacantes tras el pago del rescate. Los archivos cifrados reciben la extensión «.8base», a veces acompañada de la identificación de la víctima y la dirección de correo electrónico del atacante. 8Base ha demostrado su capacidad para eludir las medidas de seguridad tradicionales, utilizando técnicas como la desactivación de soluciones antivirus, la eliminación de las instantáneas de volumen (VSS) para impedir la recuperación de datos y la modificación de las reglas del cortafuegos local para impedir la recuperación de datos y pasar desapercibido el mayor tiempo posible. También utilizan el cifrado completo para los archivos de menos de 1,5 MB y el cifrado parcial para los de mayor tamaño. El artefacto 8Base incorpora una configuración con más de 70 opciones de cifrado y ofrece funciones adicionales, como eludir el control de cuentas de usuario (UAC) e informar de la infección de la víctima a una URL externa.

Estrategias de comunicación y relaciones públicas del ransomware 8base

El sitio TOR de 8Base funciona de manera profesional, con secciones para anuncios sobre víctimas, preguntas frecuentes y normas, así como medios de contacto. El grupo también mantiene un canal oficial en Telegram y tenía una cuenta en X(Twitter), lo que demuestra unas sofisticadas estrategias de comunicación y relaciones públicas.

Detección y prevención

En cuanto a la detección, es necesario utilizar herramientas de seguridad capaces de detectar y bloquear variantes conocidas de ransomware. La supervisión del tráfico de red en busca de indicadores de compromiso, así como las auditorías de seguridad periódicas, también son esenciales para identificar vulnerabilidades y garantizar que los controles de seguridad funcionan correctamente.

El ataque a ToyotaLift Northeast reivindicado por 8Base: un caso práctico de ciberseguridad

Como parte de sus tácticas agresivas, 8Base atacó recientemente a ToyotaLift Northeast, un distribuidor autorizado de carretillas elevadoras Toyota. Según The Cyber Express, el grupo afirmó disponer de datos del sitio web de ToyotaLift Northeast, anunciando públicamente el fracaso de las negociaciones y el plazo para el pago del rescate. Aunque el ataque a ToyotaLift Northeast no ha sido confirmado por la empresa, 8Base ha afirmado estar en posesión de datos sensibles de la empresa, incluida correspondencia personal e información financiera. Este ataque ilustra el método de 8Base de dirigirse a empresas concretas, negociar rescates y amenazar con revelar datos sensibles si no se cumplen sus exigencias, una táctica conocida como «doble extorsión».

Estrategias de defensa contra el ransomware 8Base

Como ocurre con todos los demás ransomware, para contrarrestar eficazmente el ransomware 8Base es esencial un enfoque a varios niveles. Las empresas deben adoptar medidas técnicas y operativas para detectar y mitigar los ataques. He aquí algunas estrategias clave:

  1. Uso de software antimalware: las herramientas de seguridad capaces de detectar y bloquear variantes conocidas de ransomware son esenciales. Estas herramientas pueden utilizar firmas, heurística o algoritmos de aprendizaje automático para identificar y bloquear archivos o actividades sospechosos.
  2. Supervisión del tráfico de red: es crucial supervisar el tráfico de red en busca de indicadores de peligro, como patrones de tráfico inusuales o comunicaciones con servidores de mando y control conocidos.
  3. Auditorías de seguridad periódicas: las auditorías y evaluaciones de seguridad identifican las vulnerabilidades de la red y del sistema y garantizan que todos los controles de seguridad están implantados y funcionan correctamente. Esto incluye escaneos de la red para detectar vulnerabilidades de seguridad, evaluaciones de las políticas de seguridad actuales y pruebas de penetración para simular ataques e identificar puntos débiles.
  4. Formación y concienciación de los empleados: eduque a los empleados sobre las mejores prácticas de ciberseguridad, incluida la identificación y notificación de correos electrónicos sospechosos u otras amenazas. Las sesiones de formación periódicas y los simulacros de ataques pueden ayudar a mantener una cultura de seguridad dentro de la organización.
  5. Sólido plan de copias de seguridad y recuperación: Establezca un plan de copias de seguridad y recuperación para garantizar que la organización dispone de una copia de sus datos y puede restaurarlos en caso de ataque.

Además, habilitar la autenticación multifactor, utilizar contraseñas fuertes y únicas, actualizar y parchear periódicamente los sistemas y desactivar los servicios o protocolos innecesarios o que no se utilicen son otras medidas para reforzar la seguridad contra ataques de ransomware como 8Base.

La aparición de 8Base en el ecosistema del ransomware subraya una realidad ineludible: la ciberseguridad no es una opción, sino una necesidad. Frente a adversarios cada vez más innovadores, las organizaciones deben adoptar una actitud proactiva, combinando la vigilancia con la preparación. Un conocimiento profundo de los métodos empleados por entidades como 8Base no es sólo una medida preventiva, sino una inversión estratégica en el futuro a largo plazo de una empresa. En este contexto, la construcción de defensas sólidas y la concienciación permanente se convierten en pilares fundamentales para navegar con confianza por un panorama digital en constante cambio.

Para saber más: información más detallada sobre 8Base

Para quienes deseen profundizar en el conocimiento de 8Base, un detallado artículo de Krebs on Security ofrece una perspectiva fascinante. El artículo revela que el sitio «victim shaming» de 8Base, que opera en la darknet, ha filtrado accidentalmente información sensible. Las filtraciones sugieren que el código del sitio fue escrito por un programador de 36 años que vive en Chisinau, Moldavia. El sitio 8Base, accesible únicamente a través de Tor, enumera cientos de organizaciones víctimas, alegando que se negaron a pagar un rescate para evitar la publicación de sus datos robados. El artículo ofrece una visión detallada de cómo opera 8Base y gestiona sus comunicaciones con las víctimas, así como pistas sobre la identidad de las personas que están detrás de este grupo de ransomware.

Informe de Logpoint sobre 8Base: Para profundizar en el conocimiento de 8Base, el informe de Logpoint ofrece un análisis detallado de este grupo de ransomware. Destaca las tácticas, técnicas y procedimientos (TTP) utilizados por 8Base, así como recomendaciones para reforzar las defensas contra sus ataques.

Picture of Florent Chassignol
Florent Chassignol

Partager cet article

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Copyright © 2025 Recoveo | Réalisation par Tell It