AI企業のセキュリティ確保:制御を失わずにAIを活用する当社のCEOの見解
ブログを読む

AIエンタープライズのセキュリティ確保: 制御を失わずにAIを活用する当社のCEOの見解ブログを読む →

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコンのボトムライン
ランサムウェア・グループ

8BASE

  1. ステータス:
    非アクティブ
  1. ステータス:
    非アクティブ

8Baseは、二重恐喝戦術を巧みに活用し、Phobosなどの既知ランサムウェアの改変版を含む手口で、世界中の数多くの組織に影響を与える重大なサイバーインシデントを仕掛けてきた。その執拗かつ進化し続ける戦略によって、被害は拡大し続けている。

8BaseのTTP検知
貴社はランサムウェア攻撃に対して安全ですか?
背景と目標
TTP
MITREマッピング
検知
よくあるご質問(FAQ)
脅威ブリーフィングを見る
背景
対象国
産業
被害者

8Baseの起源

2022年3月に出現した8Baseランサムウェア・グループは、初期の攻撃の後、当初は比較的静かな活動を続けていた。しかし、2023年5月中旬から6月にかけて、彼らは活動を急増させ、さまざまな分野の組織を標的にし、わずか3ヶ月の間に131人の被害者をリストアップしました。8Baseは、被害者に圧力をかけるのに有効であるとしてサイバー犯罪者の間で人気を博している二重の恐喝戦術を採用している点が特徴です。2023年3月、彼らはデータ流出サイトを立ち上げ、誠実でシンプルなコミュニケーションのイメージをアピールした。

このグループの活動、方法論、動機の起源と全容は、ほとんど謎に包まれたままである。興味深いことに、8Baseは独自に開発したランサムウェアを持っていない。その代わり、研究者たちはこのグループが、暗号化されたファイルに「.8base」を付加するように修正したPhobosランサムウェアの亜種など、流出したランサムウェアビルダーを利用して、身代金のメモをカスタマイズし、攻撃を自分たちの活動として見せていることを発見した。VMwareは、 8Baseとランサムウェア・グループRansomHouseの類似性を示すレポートを発表 し、彼らのウェブサイトや身代金要求メモの類似性を強調した。一部のサイバーセキュリティ業界では、8Baseのインフラは、別の悪名高いランサムウェア活動から流出したツールセットであるBabuk builderを使用して開発されたという見方が有力である一方、RansomHouseの分派であるという見方もある。

2025 年 2 月、大規模な国際的捜査により、8Base グループに関与していたロシア国籍の 4 名が逮捕されました。Phobos ランサムウェアも標的としたこの取り締まりにより、同グループのネットワークにリンクされた 27 台のサーバーが押収されました。この活動は、ランサムウェアの活動を阻止するために世界各国の当局が協調して取り組む傾向が高まっていることを受けてのもので、ユーロポールは情報交換と国境を越えた協力を促進する上で重要な役割を果たしています。

ソースOCD

8Baseの標的国

8baseは主に米国、ブラジル、英国を拠点とする企業をターゲットにしていた。

ソース: ランサムウェア.ライブ

8Baseがターゲットとする業界

8Baseは主に中小企業(SME)を標的とし、その攻撃対象は様々な業界に及んだ。  

同グループは、ビジネスサービス、金融、製造業、情報技術などの分野に特に強い関心を示した。

このような特定のターゲティングは、これらの分野の企業は多額の身代金を支払う余裕がある可能性が高いという考えから生じているのかもしれないし、あるいは、それらの企業が保有するデータがより機密性が高く、価値があるとみなされているからかもしれない。

ソース SOCRadar

Manufacturing

Financial Services and Banking

Technology

Healthcare

8Baseの犠牲者

455人の被害者が8Baseの悪質な作戦の餌食になっている。

ソース: ランサムウェア.ライブ

攻撃方法

8Baseの攻撃方法

初期アクセス
特権エスカレーション
粘り強さと防御回避
クレデンシャル・アクセス
ディスカバリー
ラテラルムーブ
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

8Baseハッカーは、攻撃を開始する際、隠されたペイロードを配信するためのフィッシング を展開したり、Angry IP Scannerのようなツールを利用して脆弱なリモートデスクトッププロトコル(RDP)ポートを特定・悪用したりすることが多かった。

彼らは露出したRDPサービスにアクセスするためブルートフォース攻撃を仕掛け、その後、被害者のプロファイリングと標的IPとの接続確立を目的とした調査を実施した。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

8Baseは、トークンのなりすましと窃取を実行することで、侵害されたシステムに対する支配を強化した。

このテクニックでは、DuplicateToken()関数でシステム・トークンを操作し、攻撃者が目立たないように特権を昇格させる。

この重要な手順により、彼らは即座に検知されることなく、システムのより機密性の高い領域にアクセスできることが保証された。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

ステルス性を維持し、セキュリティ防御による検知を回避するため、8Baseはいくつかの重要な戦略を採用した。

彼らはMS Officeのような一般的なアプリケーションからセキュリティソフトウェアまで、様々なプロセスを終了させ、悪意のある活動のためにより脆弱な環境を作り出した。

さらに、彼らはソフトウェアのパッキング技術を用いて悪意のあるファイルを難読化しました。具体的には、Phobosランサムウェアをメモリ内にパッキングすることで、セキュリティツールがこれを識別しブロックすることを困難にしました。 マルウェア。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

発見フェーズにおいて、8BaseはWNetEnumResource()関数を用いてネットワーク共有の発見を実施し、ネットワークリソースを体系的に探索した。

これにより、彼らは価値ある標的を特定し、ネットワークの構造を理解することが可能となり、より効果的なラテラルムーブとデータ収集を促進した

相互接続された一連のノードと、その間をひそかに移動する影のような姿。これはネットワーク内を移動する攻撃者の動きを示しており、追加システムの制御獲得や拡散を企てている。 マルウェア。
大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

影響段階とは、8Baseの行動が被害者に対して重大な混乱をもたらすに至った局面である。

彼らはシステム復旧を妨げるコマンドを実行した。これにはシャドウコピーやバックアップカタログの削除、システム修復を阻止するためのブート設定の変更が含まれる。

これらの行為は、ファイルをロックするためのAES暗号化の使用と相まって、データ復旧を困難にするだけでなく、被害者が身代金要求に応じるよう圧力を強める結果となった。

この段階では、8Baseが単にシステムへの侵入や操作を行うだけでなく、影響を受けた組織に永続的な影響を残す能力を有していることが実証された。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

8Baseハッカーは、攻撃を開始する際、隠されたペイロードを配信するためのフィッシング を展開したり、Angry IP Scannerのようなツールを利用して脆弱なリモートデスクトッププロトコル(RDP)ポートを特定・悪用したりすることが多かった。

彼らは露出したRDPサービスにアクセスするためブルートフォース攻撃を仕掛け、その後、被害者のプロファイリングと標的IPとの接続確立を目的とした調査を実施した。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
特権エスカレーション

8Baseは、トークンのなりすましと窃取を実行することで、侵害されたシステムに対する支配を強化した。

このテクニックでは、DuplicateToken()関数でシステム・トークンを操作し、攻撃者が目立たないように特権を昇格させる。

この重要な手順により、彼らは即座に検知されることなく、システムのより機密性の高い領域にアクセスできることが保証された。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

ステルス性を維持し、セキュリティ防御による検知を回避するため、8Baseはいくつかの重要な戦略を採用した。

彼らはMS Officeのような一般的なアプリケーションからセキュリティソフトウェアまで、様々なプロセスを終了させ、悪意のある活動のためにより脆弱な環境を作り出した。

さらに、彼らはソフトウェアのパッキング技術を用いて悪意のあるファイルを難読化しました。具体的には、Phobosランサムウェアをメモリ内にパッキングすることで、セキュリティツールがこれを識別しブロックすることを困難にしました。 マルウェア。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス
拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

発見フェーズにおいて、8BaseはWNetEnumResource()関数を用いてネットワーク共有の発見を実施し、ネットワークリソースを体系的に探索した。

これにより、彼らは価値ある標的を特定し、ネットワークの構造を理解することが可能となり、より効果的なラテラルムーブとデータ収集を促進した

相互接続された一連のノードと、その間をひそかに移動する影のような姿。これはネットワーク内を移動する攻撃者の動きを示しており、追加システムの制御獲得や拡散を企てている。 マルウェア。
ラテラルムーブ
大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション
デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行
一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出
ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

影響段階とは、8Baseの行動が被害者に対して重大な混乱をもたらすに至った局面である。

彼らはシステム復旧を妨げるコマンドを実行した。これにはシャドウコピーやバックアップカタログの削除、システム修復を阻止するためのブート設定の変更が含まれる。

これらの行為は、ファイルをロックするためのAES暗号化の使用と相まって、データ復旧を困難にするだけでなく、被害者が身代金要求に応じるよう圧力を強める結果となった。

この段階では、8Baseが単にシステムへの侵入や操作を行うだけでなく、影響を受けた組織に永続的な影響を残す能力を有していることが実証された。

MITRE ATT&CK マッピング

8Baseが使用したTTP

TA0001: Initial Access
T1566
Phishing
T1133
External Remote Services
TA0002: Execution
T1129
Shared Modules
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1497
Virtualization/Sandbox Evasion
T1222
File and Directory Permissions Modification
T1202
Indirect Command Execution
T1112
Modify Registry
T1036
Masquerading
T1070
Indicator Removal
T1564
Hide Artifacts
T1562
Impair Defenses
TA0006: Credential Access
T1056
Input Capture
T1003
OS Credential Dumping
TA0007: Discovery
T1497
Virtualization/Sandbox Evasion
T1518
Software Discovery
T1083
File and Directory Discovery
T1082
System Information Discovery
T1057
Process Discovery
TA0008: Lateral Movement
T1080
Taint Shared Content
TA0009: Collection
T1560
Archive Collected Data
T1074
Data Staged
T1005
Data from Local System
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1490
Inhibit System Recovery
T1485
Data Destruction
プラットフォーム検出

Vectra AIで検知 アクターを検知 する方法

ランサムウェア攻撃を示すVectra AI プラットフォーム で利用可能な検出のリスト。

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

もっと見る
攻撃の危険性を評価する

貴社はランサムウェア攻撃に対して安全ですか?

攻撃の危険性を評価する

よくあるご質問(FAQ)

8Baseとは何ですか?

8Baseはどのようにしてネットワークにアクセスするのですか?

8Base攻撃で最も危険なのはどの分野か?

8Baseは特権の昇格にどのようなテクニックを使っていますか?

8Baseはどのようにして検知や防御機構を回避するのか?

8Baseの侵入に対して、組織はどのように検知 、対応すればよいのだろうか?

8Baseは危険な組織にどのような影響を与えるのか?

8Baseランサムウェア攻撃に対する効果的な予防策とは?

8Baseは他のランサムウェアのグループや活動にリンクしていますか?

サイバーセキュリティの専門家は、8Baseのインシデントを調査するためにどのようなツールや戦略を利用できるのか?