8base ransomware: los hackers intensifican los ataques de doble extorsión en los últimos meses y utilizan el cifrado para filtrar datos

Por Caique Barqueta: El grupo de ransomware 8base saltó a la palestra a principios de marzo de 2022, permaneciendo relativamente tranquilo tras unos pocos ataques. Actúan como los demás grupos de ransomware, mediante extorsiones dobles (cifrado + fuga de datos).

A mediados de mayo y junio de 2023, la operación tuvo un pico de actividad contra organizaciones de diversos sectores, enumerando 107 organizaciones hasta el momento, anunciando a veces hasta 6 organizaciones al día.

El sitio web de 8base sobre filtración de datos se publicó en mayo de 2023, afirmando ser"honesto y directo", añadiendo además que"Somos pentesters honestos y directos. Ofrecemos a las empresas las condiciones más justas para la devolución de sus datos".

Figura 1 - Página de inicio de 8base

También añaden que"las vulnerabilidades actuales nunca serán utilizadas por el equipo para nuevos ataques. Si se descubren nuevas vulnerabilidades, se notificará a la empresa".

Figura 2 - Reglas presentadas por 8base

Además del blog, el grupo Ransomware tiene un perfil en Twitter.

Figura 3 - Perfil de Twitter del grupo 8base

Sospechas y análisis identificados

El equipo de VMware publicó un informe en el que se afirmaba que el ransomware 8Base tenía ciertas similitudes significativas con el grupo de ransomware RansomHouse.

La primera similitud observada sería la comparación de la nota de rescate utilizando el modelo de procesamiento neural del lenguaje Doc2Vec. Durante el análisis, la nota de rescate de 8base tuvo una coincidencia del 99% con la nota de rescate de RansomHouse.

Figura 4 - Notas de rescate identificadas

Además, el blog utilizado por ambos grupos de ransomware parece ser idéntico.

Figura 5 - Comparación del blog de ransomware

Y no sólo la página principal del blog, sino también las "Condiciones de servicio" publicadas por ambos grupos.

Figura 6 - Condiciones de servicio o "normas" de los operadores de RansomHouse
Figura 7 - Condiciones o "reglas" de los operadores de 8base
Figura 8 - Comparación de las FAQ en el blog sobre ransomware

También hay ciertas diferencias, la primera es la cuestión de la contratación o las asociaciones, en la que RansomHouse dice estar asociada con otros agentes, mientras que 8base no lo está.

Además, la página de fuga de datos de ransomware son distintos.

El análisis de VMware identificó que una muestra del ransomware utilizado por 8Base Ransomware, una muestra de Phobos Ransomware con la extensión de archivo ".8base" fue identificada en los archivos cifrados. Uno de los puntos que llevó a los investigadores es que el ransomware 8base estaría utilizando variedades y ransomware para atacar a sus víctimas, y en el análisis realizado se descubrió que estarían utilizando la versión 2.9.1 de Phobos Ransomware con SmokeLoader para la ofuscación inicial al entrar, desempaquetar y cargar el ransomware.  

Como el ransomware Phobos está disponible en formato Ransomware-as-a-Service (RaaS), los actores pueden personalizar las piezas según sus necesidades de acuerdo con la nota de rescate.

La diferencia en las notas de rescate era que el ransomware Phobos añade instrucciones de Jabber y la palabra "phobos" en la esquina superior de la ventana, mientras que 8base sólo tiene escrito "cartilage" en la esquina superior y ninguna instrucción de Jabber.

Figura 9 - Nota de rescate HTA presentada por el ransomware 8base
Figura 10 - Nota de rescate HTA presentada por el ransomware Phobos

Aunque el ransomware 8base habría añadido su propia personalización de marca adjuntando ".8base" a los archivos cifrados, el formato de toda la parte adjunta era el mismo que el de Phobos, que incluía una sección de identificación, una dirección de correo electrónico y la extensión del archivo.

Según la conclusión de VMware es que el ransomware 8base estaría utilizando varios tipos diferentes de ransomware, y no hay confirmación de si 8base es una variante o parte del grupo de ransomware Phobos o RansomHouse, pero que con toda seguridad utiliza diversos ransomware y se considera uno de los ransomware más activos de la primera mitad de 2023.

Análisis técnico del ransomware

Nuestro equipo de inteligencia, Heimdall, identificó una muestra del ransomware 8base con una firma (SHA-256: 2288a0c896757647538a7dab5e0c980b70b173ed36c9e6206f6701dfd4112cfb). En consulta con Virus Total, fue posible identificar que la muestra es considerada potencialmente maliciosa por 53 de 70 soluciones de seguridad, además de presentar algunas características de familias de ransomware, entre las que es posible identificar ser una variante de la familia de ransomware Phobos.

Figura 11 - Muestra identificada como maliciosa 53 de 70

Este ejemplo fue compilado el 31/05/2022, a las 05:01:04 UTC utilizando el compilador Microsoft Visual C/C++ con arquitectura de 32 bits.

Figura 12 - Información de la cabecera PE

Se observa que el ransomware 8base estaría utilizando una muestra de 2022 como ataque para las organizaciones. También se observó que el ransomware no tiene una tasa de entropía elevada, manteniéndose en el rango de 6,0.

Figura 13 - Entropía del ransomware utilizado por 8base

Para ejecutarse, el ransomware requería que el usuario estuviera autorizado a través de UAC (User Account Control), es decir, necesitaba privilegios para llevar a cabo su rutina normal de cifrado de datos.

Al ejecutarse el ransomware llama a un subproceso que se encarga de crear otros dos procesos, en este caso presentaremos el árbol de procesos que llama el ransomware.

Figura 14 - Árboles de procesos implicados en el ransomware 8base

PID: 7612

Uso del comando:

\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1

PID: 6032

Uso del comando:

vssadmin delete shadows /all /quiet

Este comando corresponde a la eliminación de todas las instantáneas existentes en un sistema Windows. Por lo tanto, el comando se refiere a:

  • vssadmin: utilidad de línea de comandos de Windows utilizada para gestionar las instantáneas creadas por VSS;
  • borrar sombras: indica que quieres borrar las copias sombra;
  • /all: Especifica que se eliminen todas las instantáneas;
  • /quiet: Establece el modo silencioso, es decir, no mostrará mensajes ni confirmaciones durante el proceso de borrado.

PID:184

Uso de WMIC (Windows Management Instrumentation Command-Line) para eliminar las instantáneas de Windows.

wmic shadowcopy eliminar

PID: 10036

Utilizado la herramienta bcdedit de Windows para modificar la configuración de inicio de Windows relacionada con los fallos de inicio por el comando:

bcdedit /set{default} bootstatuspolicy ignoreallfailures

PID: 5404

Utilizar la herramienta bcdedit de Windows para desactivar la opción de recuperación automática de Windows. Si este ajuste se utiliza como la opción "no", Windows no se iniciará automáticamente el entorno de recuperación cuando se encuentran errores críticos durante el arranque.

bcdedit /set{default} recoveryenabled no

PID:1296

Uso de la herramienta wbadmin para eliminar el catálogo de Windows Server Backup en un sistema Windows utilizando el modo silencioso.

wbadmin eliminar catálogo -silencioso

En la secuencia, PID 9000 es creado por el proceso PID9428, que realizó la creación de otros procesos en el sistema, tales como:

PID:4412

Usando conhost.exe, a través del comando, fuerce la ejecución con el valor 1 y la opción force.

\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1

PID:7564

El comando que inició el proceso PID7564 es un comando utilizado para desactivar el cortafuegos de Windows para el perfil de red actualmente en uso. En general, esto desactiva el cortafuegos para el perfil de red específico que esté activo en ese momento, como público, privado o de dominio.

Este comando requiere el uso de privilegios para ser ejecutado con éxito.

netsh advfirewall set currentprofile state off

PID: 4116

Utilice el siguiente comando para desactivar completamente el Firewall de Windows, sin embargo este comando se aplica a versiones anteriores de Windows como Windows XP y Windows Server 2003.

netsh firewall set opmode mode=disable

Este ransomware ejecuta las rutinas de los procesos mencionados dos veces, probablemente para asegurarse de que todos los comandos se ejecutaron correctamente.

El ransomware utiliza el ejecutable "WerFault.exe " utilizando los parámetros -u -p 3740 -s 952. Este ejecutable está asociado al mecanismo de reporte de errores de Windows, es decir, está destinado a capturar y reportar información sobre errores y fallos que se produzcan en el sistema operativo, ya utilizando dichos parámetros podemos afirmar que debe ejecutarse en modo usuario (-u), indica el proceso que la herramienta debe monitorizar (-p 3740) e indica el ID de sesión en el que se está ejecutando el proceso (-s 952).

C:\Windows_SysWOW64\WerFault.exe -u -p 3740 -s 952

El ransomware realiza su proceso de cifrado utilizando el algoritmo de cifrado AES y, una vez completado, añade la extensión file.id[12 palabras aleatorias].[support@rexsdata.pro].[8base ] al final de cada archivo, además de volcar la nota de rescate en los directorios en los que realizó el cifrado.

Figura 15 - Archivo info.txt creado en los directorios

También presenta la nota de reembolso en formato HTA en ese sistema creando 3 procesos.

Figura 16 - Puntuación de rescate HTA presentada a partir de la muestra analizada

TTPs - MITRE ATT&CK, Indicadores de Compromiso (IoC) y recomendaciones

TácticasTécnicaID
Ejecución TA0002Tarea/trabajo programadoT1053
Intérprete de comandos y secuencias de comandosT1059
Módulos compartidosT1129
Persistencia TA0003Tarea/trabajo programadoT1053
Ejecución de arranque o inicio automático de sesiónT1547
Claves de ejecución del registro/ Carpeta de inicioT1547.001
Escalada de privilegios TA0004Tarea/trabajo programadoT1053
Ejecución de arranque o inicio automático de sesiónT1547
Claves de ejecución del registro / Archivos de inicioT1547.001
Suplantación de identidad/roboT1134.001
Defensa Evasión TA0005Archivos o información ofuscadosT1027
Modificar el RegistroT1112
Ejecución indirecta de órdenesT1202
Embalaje de softwareT1027.002
EnmascaramientoT1036
Archivos y directorios ocultosT1564.001
Eliminación de archivosT1070.004
Evasión de la virtualización/andboxT1497
Desactivar o modificar herramientasT1562.001
Desactivar o modificar herramientasT1562.001
Archivos y directorios ocultosT1564.001
Acceso a credenciales TA0006Volcado de credenciales del SOT1003
Captura de entradaT1056
Descubrimiento TA0007Descubrimiento de procesosT1057
Descubrimiento de recursos compartidos de redT1135
Descubrimiento de información del sistemaT1082
Descubrimiento de archivos y directoriosT1083
Evasión de la virtualización/andboxT1497
Descubrimiento de software de seguridadT1518.001
Movimiento lateral TA0008Contaminar contenidos compartidosT1080
Colección TA0009Datos del sistema localT1005
Datos por etapasT1074
Captura de entradaT1056
Impacto TA0040Inhibir la recuperación del sistemaT1490
Datos cifrados para evitar impactosT1486
Destrucción de datosT1485
Tabla 1 - MITRE ATT&CK

ISH Technology realiza el tratamiento de varios indicadores de compromiso recogidos a través de fuentes abiertas, fuentes cerradas y también de análisis realizados por el equipo de seguridad de Heimdall. En vista de ello, a continuación enumeramos todos los Indicadores de Compromiso (IOCs) relacionados con el análisis del artefacto(s) de este informe:

Indicadores de compromiso del artefacto analizado
md5:0f281d2506515a64082d6e774573afb7
sha1:8949f27465913bf475fceb5796b205429083df58
sha256:2288a0c896757647538a7dab5e0c980b70b173ed36c9e6206f6701dfd4112cfb
Nombre del fichero:mtx777.exe
Cuadro 2 - IOC relacionados con la muestra analizada

Indicadores de cumplimiento del artefacto analizado
md5:2809e15a3a54484e042fe65fffd17409
sha1:4a8f0331abaf8f629b3c8220f0d55339cfa30223
sha256:518544e56e8ccee401ffa1b0a01a10ce23e49ec21ec441c6c7c3951b01c1b19c
Nombre del fichero:mtx777.exe
Tabla 3 - IoCs relacionados con la muestra VMware

20110ff550a2290c5992a5bb6bb44056
3d2b088a397e9c7e9ad130e178f885feebd9688b
e142f4e8eb3fb4323fb377138f53db66e3e6ec9e82930f4b23dd91a5f7bd45d0
5d0f447f4ccc89d7d79c0565372195240cdfa25f
9769c181ecef69544bbb2f974b8c0e10
c6bd5b8e14551eb899bbe4decb6942581d28b2a42b159146bbc28316e6e14a64
518544e56e8ccee401ffa1b0a01a10ce23e49ec21ec441c6c7c3951b01c1b19c
afddec37cdc1d196a1136e2252e925c0dcfe587963069d78775e0f174ae9cfe3
Tabla 4 - IoCs relacionados con la muestra analizada por VMware

URL de distribución y direcciones IP de C2:

wlaexfpxrs[.]org
admhexlogs25[.]xyz
admlogs25[.]xyz
admlog2[.]xyz
dnm777[.]xyz
serverlogs37[.]xyz
9f1a.exe
d6ff.exe
3c1e.exe
dexblog[.]xyz
blogstat355[.]xyz
blogstatserv25[.]xyz
Cuadro 5 - IoCs relacionados con la entrega y C2 8base

Nota: Los enlaces y direcciones IP listados arriba pueden estar activos; tenga cuidado al manipular estos IoCs, evite hacer clic en ellos y convertirse en víctima de contenido malicioso alojado en el IoC.

Además de los indicadores enumerados anteriormente, pueden adoptarse medidas con vistas a mitigar la infección por los programas maliciosos mencionados, como, por ejemplo:

  • Realice copias de seguridad periódicas: guarde copias de seguridad de todos los datos importantes en un lugar seguro y desconectado.
  • Realizar actualizaciones de software: mantener al día todos los activos de software, incluidos los sistemas operativos y las aplicaciones.
  • Utilizar protección de red como cortafuegos, antivirus y otras medidas de seguridad para proteger tu red.
  • Llevar a cabo una labor de concienciación con los empleados, enseñándoles a reconocer y evitar amenazas como el phishing y/o hacer clic en enlaces maliciosos.
  • Supervisión periódica de su red y sistemas para identificar y responder rápidamente a cualquier actividad sospechosa.
  • Creación y aplicación de un plan de respuesta a incidentes, que en caso de ataques de ransomware podrá utilizarse y contendrá información como cuestiones relacionadas con las copias de seguridad y la recuperación del sistema.

Referencias

  • Heimdall de ISH Technology
  • Informe VMware: ransomware 8Base

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *.