L’irrésistible ascension du ransomware 8Base : comprendre la menace et les moyens de défense

Dans l’arène changeante de la cybersécurité, le ransomware 8Base émerge comme une redoutable menace. Actif depuis 2022, ce groupe a connu un pic d’activité en 2023, se plaçant aux côtés de noms notoires tels que Cl0p et Lockbit. 8Base a rapidement évolué, se distinguant par ses attaques ciblées et son exploitation habile des vulnérabilités numériques. Mais qu’est-ce qui rend 8Base unique dans le monde des cybermenaces ? Ce groupe utilise des techniques de chiffrement avancées et des stratégies d’exfiltration de données, plaçant les organisations sous une pression immense pour payer des rançons en cryptomonnaies. Alors que les attaques de rançongiciels deviennent de plus en plus sophistiquées, comprendre des groupes comme 8Base est capital pour renforcer nos défenses et protéger nos actifs numériques.

Contexte et émergence de 8Base

L’émergence et l’impact de 8Base ransomware sont significatifs dans le paysage de la cybersécurité. Apparu en 2022, 8Base a rapidement gagné en notoriété en 2023, adoptant un modèle de multi-extorsion incluant un site de victimes basé sur TOR. Bien que présentant des similitudes superficielles avec d’autres familles de ransomware telles que Phobos, RansomHouse et Hive, 8Base se distingue par ses méthodes d’attaque ciblées, visant des industries variées, notamment la finance, la fabrication, la technologie de l’information et la santé. Contrairement à d’autres groupes de ransomware, 8Base a opté pour une approche plus discrète, ciblant principalement les petites et moyennes entreprises (PME) dans des secteurs variés. La majorité de ses victimes se trouvent aux États-Unis(36%), au Brésil (15%) et au Royaume-Uni (10%). Cependant, comme le montrent nos rapports de novembre et de décembre 2023, 8Base a été particulièrement actif en France, se classant parmi les menaces ransomware dominantes aux côtés de LockBit 3.0.

Depuis son apparition, 8Base s’est distingué par ses tactiques de double extorsion, menaçant de publier les fichiers chiffrés si la rançon n’est pas payée, une stratégie qui a rapidement accru sa notoriété dans le monde des cybermenaces. Cette approche ajoute une pression supplémentaire sur les victimes.Face à cette montée en puissance, les réponses des autorités et des experts en cybersécurité se sont intensifiées, cherchant à contrer l’influence croissante de 8Base dans le domaine des cybermenaces. En mai 2023, 8Base a publié des données de 67 victimes, soulignant son ascension rapide et son impact significatif dans le paysage des ransomwares.

Vulnérabilité des PME face à 8Base

Le groupe de ransomware 8Base se distingue en ciblant spécifiquement les petites et moyennes organisations, moins susceptibles de disposer de mesures de sécurité solides. « En général, les petites et moyennes organisations ont plus de difficultés à allouer des budgets de sécurité et souffrent de pénuries en matière de cybersécurité, ce qui est un cocktail dangereux lorsqu’un groupe de ransomware comme 8Base les cible », déclare Anish Bogati, ingénieur en recherche en sécurité chez Logpoint. « Les petites et moyennes organisations, en particulier, devraient se familiariser avec 8Base et, plus important encore, renforcer leurs mesures de sécurité pour se défendre contre lui. Comprendre l’adversaire est la clé pour élaborer de meilleures stratégies de défense. » Cette focalisation sur les PME souligne l’importance pour ces organisations de prendre des mesures proactives pour améliorer leur cybersécurité et se prémunir contre les attaques de ransomware. Pour plus d’informations détaillées, vous trouverez le lien vers le rapport complet de Logpoint à la fin de cet article.

L'activité du groupe de ransomware 8Base, diagramme Logpoint
Source © Logpoint

L’activité du groupe de ransomware 8Base depuis mai 2023, les placent parmi les cinq groupes les plus actifs comme le montrent les statistiques de ransomware.live mises en lumière par Logpoint sur ce diagramme.

Tactiques et méthodes d’attaque de 8Base ransomware

Actif depuis avril 2022, 8Base a rapidement gagné en notoriété grâce à ses tactiques agressives et au nombre significatif de victimes qu’il a revendiquées. Le groupe utilise des techniques d’ingénierie sociale avancées pour infiltrer les réseaux des victimes. Les attaques de phishing ciblées et les kits d’exploitation sont leurs principaux vecteurs d’entrée, exploitant souvent des vulnérabilités non patchées dans les logiciels couramment utilisés.

Stratégie de « Name and Shame » employée par 8Base

Une caractéristique distincte des opérations de 8Base est leur recours à la tactique de « name and shame » (nommer et faire honte). Cette méthode consiste à publier publiquement les noms des victimes qui ne se conforment pas aux demandes de rançon, augmentant ainsi la pression et l’urgence pour les entreprises ciblées de répondre. En révélant les noms des organisations touchées sur leur site basé sur TOR et sur d’autres plateformes, 8Base cherche non seulement à embarrasser les victimes, mais aussi à les pousser à payer la rançon pour éviter les dommages à leur réputation. Cette stratégie de double extorsion, combinant le chiffrement des données avec la menace de divulgation publique, a prouvé son efficacité pour 8Base, augmentant leur notoriété et leur succès dans l’extraction de rançons.

Capture d'écran du site du groupe 8Base ransomware
Capture d’écran du site du groupe 8Base ransomware

Comparaison avec RansomHouse

D’après une étude de WMware, les opérations de 8Base montrent des similitudes frappantes avec celles de RansomHouse, soulevant des interrogations sur leur nature : sont-elles des groupes distincts ou des opérations d’exfiltration de données coordonnées? Les analyses de sécurité ont mis en évidence une correspondance presque parfaite (99%) entre les notes de rançon de 8Base et RansomHouse, ainsi qu’une similitude dans le langage utilisé sur leurs sites, notamment dans les sections d’accueil, les conditions d’utilisation et les FAQ.

Utilisation du ransomware Phobos

Il n’est pas clair si 8Base est une extension de RansomHouse ou un simple imitateur. RansomHouse utilise divers ransomwares disponibles sur le marché noir, et un échantillon associé à 8Base correspond à la version 2.9.1 de Phobos, un ransomware disponible en tant que service (RaaS). En outre, 8Base utilise une version personnalisée du ransomware Phobos, distribuée principalement via SmokeLoader, un cheval de Troie à porte dérobée. Cette méthode permet à 8Base d’intégrer le composant ransomware dans ses charges utiles chiffrées, qui sont ensuite déchiffrées et exécutées dans la mémoire du processus SmokeLoader ainsi que le décrit en détail l’article de Cisco Talos qui lui est consacré. Une fois dans le réseau de la victime, le ransomware Phobos de 8Base chiffre immédiatement les données, affectant tous les lecteurs locaux et les volumes de partage réseau. Cette méthode d’attaque rapide et furtive rend 8Base particulièrement dangereux, capable de causer des dommages étendus avant que les victimes ne détectent l’intrusion.

Processus decryptage charge utile SmokeLoader, source Talos
Processus de décryptage de la charge utile intégrée SmokeLoader. Source © Talos

Si les méthodes d’accès initiales varient, l’utilisation de courtiers d’accès initiaux (IABs) a été observée. Une fois à l’intérieur du réseau de la victime, 8Base chiffre rapidement et efficacement les données en utilisant un algorithme de chiffrement sophistiqué, notamment AES256 en mode CBC, pour verrouiller les fichiers. Cette méthode de chiffrement rend les données inaccessibles sans la clé unique fournie par les attaquants après le paiement de la rançon. Les fichiers chiffrés reçoivent l’extension “.8base”, parfois accompagnée de l’ID de la victime et de l’adresse e-mail de l’attaquant. 8Base a démontré sa capacité à contourner les mesures de sécurité traditionnelles, utilisant des techniques telles que la désactivation des solutions antivirus, la suppression des copies d’ombre de volume (VSS), pour éviter la récupération des données, et la modification des règles du pare-feu local afin d’empêcher la récupération des données et de rester indétecté le plus longtemps possible. Ils utilisent également un chiffrement intégral pour les fichiers de moins de 1,5 Mo et un chiffrement partiel pour les fichiers plus grands. L’artefact de 8Base intègre une configuration avec plus de 70 options cryptées, offrant des fonctionnalités supplémentaires comme le contournement du contrôle de compte d’utilisateur (UAC) et le signalement de l’infection d’une victime à une URL externe.

Communication et stratégies de relations publiques de 8base ransomware

Le site TOR de 8Base fonctionne de manière professionnelle, avec des sections pour les annonces des victimes, des FAQ et des règles, ainsi que des moyens de contact. Le groupe maintient également un canal officiel sur Telegram et possèdait un compte X(Twitter), démontrant des stratégies de communication et de relations publiques sophistiquées.

Détection et Prévention

En termes de détection, il est nécessaire d’utiliser des outils de sécurité capables de détecter et de bloquer les variantes de ransomware connues. La surveillance du trafic réseau pour détecter les indicateurs de compromission, ainsi que des audits de sécurité réguliers, sont également essentiels pour identifier les vulnérabilités et assurer le bon fonctionnement des contrôles de sécurité.

L’attaque de ToyotaLift Northeast revendiquée par 8Base : un cas d’étude en cybersécurité

Dans le cadre de ses tactiques agressives, 8Base a récemment ciblé ToyotaLift Northeast, un concessionnaire autorisé de chariots élévateurs Toyota. Selon The Cyber Express le groupe a affirmé avoir des données du site web de ToyotaLift Northeast, annonçant publiquement l’échec des négociations et la date limite pour le paiement de la rançon. Bien que l’attaque de ToyotaLift Northeast n’ait pas été confirmée par l’entreprise, 8Base a revendiqué la possession de données sensibles de l’entreprise, y compris des correspondances personnelles et des informations financières. Cette attaque illustre la méthode de 8Base consistant à cibler des entreprises spécifiques, à négocier des rançons et à menacer de divulguer des données sensibles si leurs demandes ne sont pas satisfaites, une tactique connue sous le nom de « double extorsion ».

Stratégies de défense contre le ransomware 8Base

Comme pour tous les autres rançongiciels, pour contrer efficacement le ransomware 8Base, une approche multi-couches est essentielle. Les entreprises doivent adopter des mesures techniques et opérationnelles pour détecter et atténuer les attaques. Voici quelques stratégies clés :

  1. Utilisation de logiciels anti-malware : Des outils de sécurité capables de détecter et de bloquer les variantes connues de ransomware sont indispensables. Ces outils peuvent utiliser des signatures, des heuristiques ou des algorithmes d’apprentissage automatique pour identifier et bloquer les fichiers ou activités suspects.
  2. Surveillance du trafic réseau : Il est crucial de surveiller le trafic réseau pour détecter les indicateurs de compromission, tels que des modèles de trafic inhabituels ou des communications avec des serveurs de commande et de contrôle connus.
  3. Audits de sécurité réguliers : Les audits et évaluations de sécurité permettent d’identifier les vulnérabilités du réseau et du système et de s’assurer que tous les contrôles de sécurité sont en place et fonctionnent correctement. Cela inclut des analyses de réseau pour détecter les failles de sécurité, des évaluations des politiques de sécurité actuelles et des tests d’intrusion pour simuler des attaques et identifier les points faibles.
  4. Formation et sensibilisation des employés : Éduquer les employés sur les meilleures pratiques en matière de cybersécurité, y compris l’identification et le signalement des e-mails suspects ou d’autres menaces. Des sessions de formation régulières et des simulations d’attaque peuvent aider à maintenir une culture de la sécurité au sein de l’organisation.
  5. Plan de sauvegarde et de récupération robuste : Mettre en place un plan de sauvegarde et de récupération pour s’assurer que l’organisation dispose d’une copie de ses données et peut les restaurer en cas d’attaque.

En outre, l’activation de l’authentification multi-facteurs, l’utilisation de mots de passe forts et uniques, la mise à jour et le patching réguliers des systèmes, et la désactivation des services ou protocoles inutiles ou inutilisés sont des mesures supplémentaires pour renforcer la sécurité contre les attaques de ransomware comme 8Base.

L’émergence de 8Base dans l’écosystème des ransomwares souligne une réalité incontournable : la cybersécurité n’est pas une option, mais une nécessité. Face à des adversaires toujours plus innovants, les organisations doivent adopter une posture proactive, alliant vigilance et préparation. La compréhension approfondie des méthodes employées par des entités telles que 8Base n’est pas seulement une mesure préventive, mais un investissement stratégique dans la pérennité de l’entreprise. Dans ce contexte, la construction de défenses robustes et la sensibilisation continue deviennent des piliers fondamentaux pour naviguer avec assurance dans un paysage numérique en perpétuelle mutation.

Pour approfondir le sujet : des informations supplémentaires détaillées sur 8Base

Pour ceux qui souhaitent approfondir leur compréhension de 8Base, un article détaillé sur Krebs on Security offre une perspective fascinante. L’article révèle que le site de « victim shaming » de 8Base, opérant sur le darknet, a accidentellement divulgué des informations sensibles. Ces fuites suggèrent que le code du site a été écrit par un programmeur de 36 ans résidant à Chisinau, Moldavie. Le site de 8Base, accessible uniquement via Tor, liste des centaines d’organisations victimes, affirmant qu’elles ont refusé de payer une rançon pour empêcher la publication de leurs données volées. L’article offre un aperçu détaillé de la manière dont 8Base opère et gère ses communications avec les victimes, ainsi que des indices sur l’identité des personnes derrière ce groupe de ransomware .

Rapport de Logpoint sur 8Base : Pour approfondir notre compréhension de 8Base, le rapport de Logpoint offre une analyse détaillée de ce groupe de ransomware. Il met en lumière les tactiques, techniques et procédures (TTP) utilisées par 8Base, ainsi que des recommandations pour renforcer la défense contre leurs attaques.

Image de Florent Chassignol
Florent Chassignol
Attiré très jeune par l'informatique, je suis aujourd'hui Fondateur et CEO de Recoveo, leader français de la récupération de données. Vous êtes victime d'un ransomware, votre serveur est HS, votre téléphone a plongé dans la piscine ? Nous sommes là pour vous !

Partager cet article

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *