logo SOS Ransomware
Kontakt 24/7

Der unaufhaltsame Aufstieg der Ransomware 8Base: Die Bedrohung und Abwehrmöglichkeiten verstehen

In der sich verändernden Arena der Cybersicherheit taucht die Ransomware 8Base als furchterregende Bedrohung auf. Die seit 2022 aktive Gruppe erlebte 2023 einen Höhepunkt ihrer Aktivitäten und reihte sich neben bekannten Namen wie Cl0p und Lockbit ein. 8Base entwickelte sich schnell weiter und zeichnete sich durch gezielte Angriffe und die geschickte Ausnutzung digitaler Schwachstellen aus. Doch was macht 8Base in der Welt der Cyberbedrohungen so einzigartig? Diese Gruppe nutzt fortschrittliche Verschlüsselungstechniken und Datenexfiltrationsstrategien und setzt Organisationen unter immensen Druck, Lösegeld in Kryptowährungen zu zahlen. Da die Ransomware-Angriffe immer raffinierter werden, ist das Verständnis von Gruppen wie 8Base von entscheidender Bedeutung, um unsere Abwehrkräfte zu stärken und unsere digitalen Vermögenswerte zu schützen.

Hintergrund und Entstehung von 8Base

Das Auftauchen und die Auswirkungen von 8Base Ransomware sind in der Landschaft der Cybersicherheit von großer Bedeutung. 8Base erschien 2022, gewann 2023 rasch an Bekanntheit und übernahm ein Multi-Erpressungsmodell, das auch eine TOR-basierte Opferseite umfasste. Obwohl 8Base oberflächliche Ähnlichkeiten mit anderen Ransomware-Familien wie Phobos, RansomHouse und Hive aufweist, zeichnet es sich durch seine gezielten Angriffsmethoden aus, die auf verschiedene Branchen wie Finanzwesen, Fertigung, Informationstechnologie und Gesundheitswesen abzielen. Im Gegensatz zu anderen Ransomware-Gruppen wählte 8Base einen unauffälligeren Ansatz und richtete sich vor allem an kleine und mittlere Unternehmen (KMU) in verschiedenen Branchen. Die meisten seiner Opfer befinden sich in den USA(36%), Brasilien (15%) und Großbritannien (10%). Wie aus unseren Berichten vom November und Dezember 2023 hervorgeht, war 8Base jedoch besonders in Frankreich aktiv und gehörte neben LockBit 3.0 zu den dominierenden Ransomware-Bedrohungen.

Seit seinem Auftreten zeichnet sich 8Base durch seine Taktik der doppelten Erpressung aus und droht damit, die verschlüsselten Dateien zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird – eine Strategie, die seinen Bekanntheitsgrad in der Welt der Cyberbedrohungen schnell erhöht hat. Dieser Ansatz setzt die Opfer zusätzlich unter Druck.Angesichts dieses Machtzuwachses haben sich die Reaktionen von Behörden und Cybersicherheitsexperten intensiviert, die versuchen, dem wachsenden Einfluss von 8Base in der Cyberbedrohungsszene entgegenzuwirken. Im Mai 2023 veröffentlichte 8Base Daten von 67 Opfern und unterstrich damit seinen rasanten Aufstieg und seinen bedeutenden Einfluss in der Ransomware-Landschaft.

Verwundbarkeit von KMU gegenüber 8Base

Die Ransomware-Gruppe 8Base zeichnet sich dadurch aus, dass sie speziell auf kleine und mittlere Organisationen abzielt, die weniger wahrscheinlich über starke Sicherheitsmaßnahmen verfügen. „Kleine und mittlere Organisationen haben in der Regel größere Schwierigkeiten, Sicherheitsbudgets zuzuweisen, und leiden unter einem Mangel an Cybersicherheit, was ein gefährlicher Cocktail ist, wenn eine Ransomware-Gruppe wie 8Base auf sie abzielt“, sagte Anish Bogati, Sicherheitsforschungsingenieur bei Logpoint. „Vor allem kleine und mittlere Organisationen sollten sich mit 8Base vertraut machen und, was noch wichtiger ist, ihre Sicherheitsmaßnahmen verstärken, um sich dagegen zu verteidigen. Das Verständnis des Gegners ist der Schlüssel zur Entwicklung besserer Verteidigungsstrategien“. Dieser Fokus auf kleine und mittelständische Unternehmen unterstreicht, wie wichtig es für diese Organisationen ist, proaktive Maßnahmen zu ergreifen, um ihre Cybersicherheit zu verbessern und sich gegen Ransomware-Angriffe zu wappnen. Für weitere detaillierte Informationen finden Sie den Link zum vollständigen Bericht von Logpoint am Ende dieses Artikels.

L'activité du groupe de ransomware 8Base, diagramme Logpoint
Quelle © Logpoint

Die Aktivität der Ransomware-Gruppe 8Base seit Mai 2023 macht sie zu einer der fünf aktivsten Gruppen, wie die von Logpoint hervorgehobenen Statistiken von ransomware.live in diesem Diagramm zeigen.

Angriffstaktiken und -methoden von 8Base ransomware.

8Base ist seit April 2022 aktiv und hat aufgrund seiner aggressiven Taktiken und der erheblichen Anzahl an Opfern, die er für sich beansprucht, schnell an Bekanntheit gewonnen. Die Gruppe nutzt fortschrittliche Social-Engineering-Techniken, um die Netzwerke der Opfer zu infiltrieren. Gezielte Phishing-Angriffe und Exploit-Kits sind ihre Haupteintrittsvektoren, wobei sie häufig ungepatchte Schwachstellen in gängiger Software ausnutzen.

Von 8Base angewandte „Name and Shame“-Strategie

Ein besonderes Merkmal der Operationen von 8Base ist die Verwendung der „Name and Shame“-Taktik (Name und Schande). Bei dieser Methode werden die Namen der Opfer, die den Lösegeldforderungen nicht nachkommen, öffentlich veröffentlicht, wodurch der Druck und die Dringlichkeit für die anvisierten Unternehmen, zu reagieren, erhöht werden. Indem 8Base die Namen der betroffenen Organisationen auf ihrer TOR-basierten Seite und auf anderen Plattformen veröffentlicht, versucht es nicht nur, die Opfer zu blamieren, sondern sie auch dazu zu bringen, das Lösegeld zu zahlen, um Reputationsschäden zu vermeiden. Diese Strategie der doppelten Erpressung, bei der die Verschlüsselung der Daten mit der Drohung der öffentlichen Bekanntmachung kombiniert wird, hat sich für 8Base als wirksam erwiesen und ihren Bekanntheitsgrad und Erfolg bei der Erpressung von Lösegeld gesteigert.

Capture d'écran du site du groupe 8Base ransomware
Screenshot der Website der Gruppe 8Base ransomware.

Vergleich mit RansomHouse

Laut einer Studie von WMware weisen die Operationen von 8Base auffallende Ähnlichkeiten mit denen von RansomHouse auf und werfen Fragen über ihre Natur auf: Handelt es sich um separate Gruppen oder um koordinierte Datenexfiltrationsoperationen? Sicherheitsanalysen ergaben eine nahezu perfekte Übereinstimmung (99%) zwischen den Lösegeldforderungen von 8Base und RansomHouse sowie eine Ähnlichkeit in der Sprache, die auf den Websites der beiden Organisationen verwendet wird, insbesondere in der Startseite, den Nutzungsbedingungen und den FAQs.

Verwendung der Ransomware Phobos

Es ist unklar, ob 8Base eine Erweiterung von RansomHouse oder nur ein Nachahmer ist. RansomHouse verwendet verschiedene Ransomware, die auf dem Schwarzmarkt erhältlich ist, und ein mit 8Base verbundenes Muster entspricht der Version 2.9.1 von Phobos, einer Ransomware, die als Dienst (RaaS) zur Verfügung steht. Darüber hinaus verwendet 8Base eine angepasste Version der Phobos-Ransomware, die hauptsächlich über SmokeLoader, einen Backdoor-Trojaner, verbreitet wird . Auf diese Weise kann 8Base die Ransomware-Komponente in seine verschlüsselten Payloads integrieren, die dann entschlüsselt und im Speicher des SmokeLoader-Prozesses ausgeführt werden, wie in dem Artikel von Cisco Talos ausführlich beschrieben wird. Sobald die Ransomware Phobos von 8Base in das Netzwerk des Opfers gelangt, verschlüsselt sie sofort die Daten, wobei alle lokalen Laufwerke und Netzwerkfreigabevolumes betroffen sind. Diese schnelle und heimliche Angriffsmethode macht 8Base besonders gefährlich, da sie in der Lage ist, weitreichenden Schaden anzurichten, bevor die Opfer das Eindringen bemerken.

Processus decryptage charge utile SmokeLoader, source Talos
Entschlüsselungsprozess der eingebetteten SmokeLoader-Nutzlast. Quelle © Talos.

Während die anfänglichen Zugriffsmethoden variieren, wurde die Verwendung von Initial Access Brokers (IABs) beobachtet. Sobald 8Base im Netzwerk des Opfers angekommen ist, verschlüsselt es die Daten schnell und effizient, indem es einen ausgeklügelten Verschlüsselungsalgorithmus, einschließlich AES256 im CBC-Modus, verwendet, um die Dateien zu sperren. Diese Verschlüsselungsmethode macht die Daten ohne den einzigartigen Schlüssel, den die Angreifer nach der Zahlung des Lösegelds bereitstellen, unzugänglich. Verschlüsselte Dateien erhalten die Erweiterung „.8base“, manchmal zusammen mit der ID des Opfers und der E-Mail-Adresse des Angreifers. 8Base hat gezeigt, dass es herkömmliche Sicherheitsmaßnahmen umgehen kann, indem es Techniken wie die Deaktivierung von Antivirenlösungen, das Löschen von Volumenschattenkopien (VSS), um die Wiederherstellung von Daten zu verhindern, und die Änderung der Regeln der lokalen Firewall verwendet, um die Wiederherstellung von Daten zu verhindern und so lange wie möglich unentdeckt zu bleiben. Außerdem verwenden sie eine Vollverschlüsselung für Dateien, die kleiner als 1,5 MB sind, und eine Teilverschlüsselung für größere Dateien. Das Artefakt von 8Base integriert eine Konfiguration mit über 70 verschlüsselten Optionen und bietet zusätzliche Funktionen wie die Umgehung der Benutzerkontensteuerung (UAC) und die Meldung der Infektion eines Opfers an eine externe URL.

Kommunikation und PR-Strategien von 8base ransomware.

Die TOR-Website von 8Base funktioniert professionell, mit Bereichen für Opferanzeigen, FAQs und Regeln sowie Kontaktmöglichkeiten. Die Gruppe unterhält außerdem einen offiziellen Telegram-Kanal und besaß ein X(Twitter)-Konto, was ausgeklügelte Kommunikations- und PR-Strategien demonstriert.

Aufdeckung und Prävention

In Bezug auf die Erkennung ist es notwendig, Sicherheitstools zu verwenden, die bekannte Ransomware-Varianten erkennen und blockieren können. Die Überwachung des Netzwerkverkehrs auf Indikatoren für eine Kompromittierung sowie regelmäßige Sicherheitsprüfungen sind ebenfalls unerlässlich, um Schwachstellen zu erkennen und sicherzustellen, dass die Sicherheitskontrollen ordnungsgemäß funktionieren.

Der von 8Base behauptete Angriff auf ToyotaLift Northeast: ein Fallbeispiel für Cybersicherheit.

Im Rahmen seiner aggressiven Taktiken hatte 8Base kürzlich ToyotaLift Northeast, einen autorisierten Händler von Toyota-Gabelstaplern, im Visier. Laut The Cyber Express behauptete die Gruppe, über Daten von der Website von ToyotaLift Northeast zu verfügen, und kündigte öffentlich das Scheitern der Verhandlungen und die Frist für die Zahlung des Lösegelds an. Obwohl der Angriff auf ToyotaLift Northeast von dem Unternehmen nicht bestätigt wurde, beanspruchte 8Base den Besitz sensibler Unternehmensdaten, darunter persönliche Korrespondenz und Finanzinformationen. Dieser Angriff veranschaulicht die Methode von 8Base, bestimmte Unternehmen ins Visier zu nehmen, Lösegeld auszuhandeln und mit der Herausgabe sensibler Daten zu drohen, wenn ihre Forderungen nicht erfüllt werden – eine Taktik, die als „doppelte Erpressung“ bekannt ist.

Verteidigungsstrategien gegen die Ransomware 8Base

Wie bei jeder anderen Ransomware ist auch bei der 8Base-Ransomware ein vielschichtiger Ansatz von entscheidender Bedeutung, um sie wirksam zu bekämpfen. Unternehmen müssen technische und betriebliche Maßnahmen ergreifen, um Angriffe zu erkennen und abzuschwächen. Hier einige Schlüsselstrategien:

  1. Einsatz von Anti-Malware-Software: Sicherheitstools, die bekannte Varianten von Ransomware erkennen und blockieren können, sind unverzichtbar. Diese Tools können Signaturen, Heuristiken oder Algorithmen des maschinellen Lernens verwenden, um verdächtige Dateien oder Aktivitäten zu identifizieren und zu blockieren.
  2. Überwachung des Netzwerkverkehrs: Die Überwachung des Netzwerkverkehrs ist entscheidend, um Indikatoren für eine Kompromittierung zu erkennen, z. B. ungewöhnliche Verkehrsmuster oder die Kommunikation mit bekannten Command-and-Control-Servern.
  3. Regelmäßige Sicherheitsprüfungen: Sicherheitsprüfungen und -bewertungen helfen dabei, Schwachstellen im Netzwerk und im System zu identifizieren und sicherzustellen, dass alle Sicherheitskontrollen vorhanden sind und ordnungsgemäß funktionieren. Dazu gehören Netzwerkscans, um Sicherheitslücken aufzuspüren, Bewertungen der aktuellen Sicherheitsrichtlinien und Penetrationstests, um Angriffe zu simulieren und Schwachstellen zu identifizieren.
  4. Schulung und Sensibilisierung der Mitarbeiter: Unterrichten Sie die Mitarbeiter über bewährte Verfahren zur Cybersicherheit, einschließlich der Identifizierung und Meldung verdächtiger E-Mails oder anderer Bedrohungen. Regelmäßige Schulungen und simulierte Angriffe können dazu beitragen, eine Sicherheitskultur innerhalb der Organisation aufrechtzuerhalten.
  5. Robuster Sicherungs- und Wiederherstellungsplan: Richten Sie einen Sicherungs- und Wiederherstellungsplan ein, um sicherzustellen, dass die Organisation über eine Kopie ihrer Daten verfügt und diese im Falle eines Angriffs wiederherstellen kann.

Darüber hinaus sind die Aktivierung der Multi-Faktor-Authentifizierung, die Verwendung starker und eindeutiger Passwörter, die regelmäßige Aktualisierung und das Patchen der Systeme sowie die Deaktivierung unnötiger oder ungenutzter Dienste oder Protokolle weitere Maßnahmen, um die Sicherheit vor Angriffen durch Ransomware wie 8Base zu erhöhen.

Das Auftauchen von 8Base im Ransomware-Ökosystem unterstreicht eine unumstößliche Tatsache: Cybersicherheit ist keine Option, sondern eine Notwendigkeit. Angesichts immer innovativerer Gegner müssen Organisationen eine proaktive Haltung einnehmen, die Wachsamkeit und Vorbereitung miteinander verbindet. Ein tieferes Verständnis der Methoden, die von Einrichtungen wie 8Base angewandt werden, ist nicht nur eine vorbeugende Maßnahme, sondern eine strategische Investition in den Fortbestand des Unternehmens. In diesem Zusammenhang werden der Aufbau einer robusten Verteidigung und die kontinuierliche Sensibilisierung zu grundlegenden Pfeilern, um sich sicher durch die sich ständig verändernde digitale Landschaft zu bewegen.

Zur Vertiefung des Themas: Ausführliche Zusatzinformationen zu 8Base.

Für diejenigen, die ihr Verständnis von 8Base vertiefen möchten, bietet ein ausführlicher Artikel auf Krebs on Security eine faszinierende Perspektive. Der Artikel enthüllt, dass die im Darknet operierende „victim shaming“-Seite von 8Base versehentlich sensible Informationen preisgegeben hat. Diese Lecks legen nahe, dass der Code der Seite von einem 36-jährigen Programmierer mit Wohnsitz in Chisinau, Moldawien, geschrieben wurde. Die Website von 8Base, die nur über Tor zugänglich ist, listet Hunderte von Organisationen als Opfer auf und behauptet, dass sie sich geweigert hätten, Lösegeld zu zahlen, um die Veröffentlichung ihrer gestohlenen Daten zu verhindern. Der Artikel bietet einen detaillierten Einblick in die Art und Weise, wie 8Base operiert und seine Kommunikation mit den Opfern steuert, sowie Hinweise darauf, wer hinter dieser Ransomware-Gruppe steckt .

Logpoint-Bericht zu 8Base: Um unser Verständnis von 8Base zu vertiefen, bietet der Bericht von Logpoint eine detaillierte Analyse dieser Ransomware-Gruppe. Er beleuchtet die von 8Base verwendeten Taktiken, Techniken und Verfahren (TTP) und gibt Empfehlungen zur Stärkung der Verteidigung gegen ihre Angriffe.

Picture of Florent Chassignol
Florent Chassignol

Partager cet article

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2025 SOS RANSOMWARE & RECOVEO TECHNOLOGY GROUP | Made by Tell It