8BASE
With its adept use of double-extortion tactics and a repertoire that includes modified variants of known ransomware like Phobos, 8Base had orchestrated significant cyber incidents, impacting numerous organizations worldwide with its relentless and evolving strategies.
8Baseの起源
2022年3月に出現した8Baseランサムウェア・グループは、初期の攻撃の後、当初は比較的静かな活動を続けていた。しかし、2023年5月中旬から6月にかけて、彼らは活動を急増させ、さまざまな分野の組織を標的にし、わずか3ヶ月の間に131人の被害者をリストアップしました。8Baseは、被害者に圧力をかけるのに有効であるとしてサイバー犯罪者の間で人気を博している二重の恐喝戦術を採用している点が特徴です。2023年3月、彼らはデータ流出サイトを立ち上げ、誠実でシンプルなコミュニケーションのイメージをアピールした。
このグループの活動、方法論、動機の起源と全容は、ほとんど謎に包まれたままである。興味深いことに、8Baseは独自に開発したランサムウェアを持っていない。その代わり、研究者たちはこのグループが、暗号化されたファイルに「.8base」を付加するように修正したPhobosランサムウェアの亜種など、流出したランサムウェアビルダーを利用して、身代金のメモをカスタマイズし、攻撃を自分たちの活動として見せていることを発見した。VMwareは、 8Baseとランサムウェア・グループRansomHouseの類似性を示すレポートを発表 し、彼らのウェブサイトや身代金要求メモの類似性を強調した。一部のサイバーセキュリティ業界では、8Baseのインフラは、別の悪名高いランサムウェア活動から流出したツールセットであるBabuk builderを使用して開発されたという見方が有力である一方、RansomHouseの分派であるという見方もある。
2025 年 2 月、大規模な国際的捜査により、8Base グループに関与していたロシア国籍の 4 名が逮捕されました。Phobos ランサムウェアも標的としたこの取り締まりにより、同グループのネットワークにリンクされた 27 台のサーバーが押収されました。この活動は、ランサムウェアの活動を阻止するために世界各国の当局が協調して取り組む傾向が高まっていることを受けてのもので、ユーロポールは情報交換と国境を越えた協力を促進する上で重要な役割を果たしています。
8Baseの標的国
8Baseがターゲットとする業界
8Base focused its attacks mainly on small and medium-sized enterprises (SMEs) spanning a range of industries.
The group demonstrated a particular interest in sectors such as business services, finance, manufacturing, and information technology.
このような特定のターゲティングは、これらの分野の企業は多額の身代金を支払う余裕がある可能性が高いという考えから生じているのかもしれないし、あるいは、それらの企業が保有するデータがより機密性が高く、価値があるとみなされているからかもしれない。
ソース SOCRadar
8Baseの犠牲者
8Baseの攻撃方法
8Base hackers often initiated their attacks by deploying phishing campaigns to deliver concealed payloads or utilizing tools like Angry IP Scanner to identify and exploit vulnerable Remote Desktop Protocol (RDP) ports.
They employed brute force attacks to access exposed RDP services, subsequently conducting research to profile their victims and establish connections with the targeted IPs.
8Base advanced its control over compromised systems by executing token impersonation and theft.
このテクニックでは、DuplicateToken()関数でシステム・トークンを操作し、攻撃者が目立たないように特権を昇格させる。
This critical step ensured they can access more sensitive areas of the system without immediate detection.
To maintain stealth and avoid detection by security defenses, 8Base employed a couple of key strategies.
They terminated a variety of processes, targeting both commonly used applications, like MS Office, and security software, to create a more vulnerable environment for their malicious activities.
Additionally, they utilized software packing to obfuscate malicious files, specifically packing Phobos ransomware into memory, making it harder for security tools to identify and block the malware.
In the discovery phase, 8Base conducted network share discovery using the WNetEnumResource() function to methodically crawl through network resources.
This allowed them to identify valuable targets and understand the network's structure, facilitating more effective lateral movement and data collection.
The impact phase is where 8Base's actions culminated in significant disruption for the victim.
They executed commands that inhibit system recovery, including deleting shadow copies, backup catalogs, and modifying boot configurations to prevent system repairs.
These actions, combined with the use of AES encryption to lock files, not only made data recovery challenging but also increase the pressure on victims to comply with ransom demands.
This phase demonstrated 8Base's ability to not just breach and navigate systems but to leave a lasting impact on the affected organizations.
8Base hackers often initiated their attacks by deploying phishing campaigns to deliver concealed payloads or utilizing tools like Angry IP Scanner to identify and exploit vulnerable Remote Desktop Protocol (RDP) ports.
They employed brute force attacks to access exposed RDP services, subsequently conducting research to profile their victims and establish connections with the targeted IPs.
8Base advanced its control over compromised systems by executing token impersonation and theft.
このテクニックでは、DuplicateToken()関数でシステム・トークンを操作し、攻撃者が目立たないように特権を昇格させる。
This critical step ensured they can access more sensitive areas of the system without immediate detection.
To maintain stealth and avoid detection by security defenses, 8Base employed a couple of key strategies.
They terminated a variety of processes, targeting both commonly used applications, like MS Office, and security software, to create a more vulnerable environment for their malicious activities.
Additionally, they utilized software packing to obfuscate malicious files, specifically packing Phobos ransomware into memory, making it harder for security tools to identify and block the malware.
In the discovery phase, 8Base conducted network share discovery using the WNetEnumResource() function to methodically crawl through network resources.
This allowed them to identify valuable targets and understand the network's structure, facilitating more effective lateral movement and data collection.
The impact phase is where 8Base's actions culminated in significant disruption for the victim.
They executed commands that inhibit system recovery, including deleting shadow copies, backup catalogs, and modifying boot configurations to prevent system repairs.
These actions, combined with the use of AES encryption to lock files, not only made data recovery challenging but also increase the pressure on victims to comply with ransom demands.
This phase demonstrated 8Base's ability to not just breach and navigate systems but to leave a lasting impact on the affected organizations.
8Baseが使用したTTP
How to Detect Threat Actors with Vectra AI
ランサムウェア攻撃を示すVectra AI Platform で利用可能な検出のリスト。
よくあるご質問(FAQ)
8Baseとは何ですか?
8Baseは、攻撃的な恐喝戦術で知られるランサムウェア・グループで、主に様々な分野の中小企業を標的としている。
特権の昇格、防御回避、データの暗号化を含む高度な攻撃チェーンを用いて、被害者から身代金を強奪する。
8Baseはどのようにしてネットワークにアクセスするのですか?
8Baseは通常、フィッシングメールやエクスプロイトキットを介して最初のアクセスを獲得し、これらのベクターを使用してランサムウェアを展開したり、標的のシステムの足掛かりを得たりする。
8Base攻撃で最も危険なのはどの分野か?
8Baseは、ビジネスサービス、金融、製造、情報技術セクターの企業を好んで攻撃しているが、これはおそらく、そのデータの機密性の高さと、より大きな身代金を支払う能力があると思われるためである。
8Baseは特権の昇格にどのようなテクニックを使っていますか?
8Baseは、トークンのなりすましと窃取を使用して特権の昇格を行い、侵害されたシステム内でより高いアクセス・レベルを得るためにシステム・トークンを操作します。
8Baseはどのようにして検知や防御機構を回避するのか?
8Baseは、従来のセキュリティ・ツールによる検出を回避するために、セキュリティ関連のプロセスを終了させたり、ソフトウェア・パッキングによって悪意のあるファイルを難読化したりするなどのテクニックを採用している。
8Baseの侵入に対して、組織はどのように検知 、対応すればよいのだろうか?
組織は、8Baseのようなグループに特徴的なランサムウェアの活動をリアルタイムで分析・検知するAI主導の脅威検知プラットフォームを導入することで、検知およびレスポンス 機能を強化することができます。
8Baseは危険な組織にどのような影響を与えるのか?
8Baseの影響には、機密ファイルの暗号化、システム復旧作業の阻害、潜在的なデータ流出が含まれ、業務の中断、経済的損失、風評被害につながります。
8Baseランサムウェア攻撃に対する効果的な予防策とは?
効果的な対策としては、データの定期的なバックアップ、フィッシングへの認識に関する従業員トレーニング、脆弱性へのタイムリーなパッチ適用、ランサムウェアの活動を検知し軽減することができる高度なセキュリティソリューションの導入などが挙げられる。
8Baseは他のランサムウェアのグループや活動にリンクしていますか?
8Baseは、RansomHouseのような他のランサムウェアグループと関係があるか、あるいはそこから発展した可能性があると推測されている。
サイバーセキュリティの専門家は、8Baseのインシデントを調査するためにどのようなツールや戦略を利用できるのか?
サイバーセキュリティの専門家は、フォレンジック分析ツール、脅威インテリジェンスプラットフォーム、AI主導のセキュリティソリューションを活用して、インシデントを調査し、攻撃ベクトルを明らかにし、8Base の活動に関連する侵害の指標(IOC)を特定することができます。