あなたの組織は8Baseランサムウェア攻撃から安全ですか？

8ベースの起源

2022年3月に出現した8Baseランサムウェア・グループは、初期の攻撃の後、当初は比較的静かな活動を続けていた。しかし、2023年5月中旬から6月にかけて、彼らは活動を急増させ、さまざまな分野の組織を標的にし、わずか3ヶ月の間に131人の被害者をリストアップしました。8Baseは、被害者に圧力をかけるのに有効であるとしてサイバー犯罪者の間で人気を博している二重の恐喝戦術を採用している点が特徴です。2023年3月、彼らはデータ流出サイトを立ち上げ、誠実でシンプルなコミュニケーションのイメージをアピールした。

このグループの活動、方法論、動機の起源と全容は、ほとんど謎に包まれたままである。興味深いことに、8Baseは独自に開発したランサムウェアを持っていない。その代わり、研究者たちはこのグループが、暗号化されたファイルに「.8base」を付加するように修正したPhobosランサムウェアの亜種など、流出したランサムウェアビルダーを利用して、身代金のメモをカスタマイズし、攻撃を自分たちの活動として見せていることを発見した。VMwareは、 8Baseとランサムウェア・グループRansomHouseの類似性を示すレポートを発表し、彼らのウェブサイトや身代金要求メモの類似性を強調した。一部のサイバーセキュリティ業界では、8Baseのインフラは、別の悪名高いランサムウェア活動から流出したツールセットであるBabuk builderを使用して開発されたという見方が有力である一方、RansomHouseの分派であるという見方もある。

ターゲット

8ベースのターゲット

8Baseの対象国

8baseは主に米国、ブラジル、英国を拠点とする企業をターゲットにしていた。

^ソース^{ランサムウェア.ライブ}

8ベースがターゲットとする業界

8Baseは主に、さまざまな業界にまたがる中小企業（SME）を攻撃対象としている。

同グループは、ビジネスサービス、金融、製造、情報技術などのセクターに特に関心を示している。

このような特定のターゲティングは、これらの分野の企業は多額の身代金を支払う余裕がある可能性が高いという考えから生じているのかもしれないし、あるいは、それらの企業が保有するデータがより機密性が高く、価値があるとみなされているからかもしれない。

^ソース^SOCRadar

8ベースがターゲットとする業界

8Baseは主に、さまざまな業界にまたがる中小企業（SME）を攻撃対象としている。

同グループは、ビジネスサービス、金融、製造、情報技術などのセクターに特に関心を示している。

このような特定のターゲティングは、これらの分野の企業は多額の身代金を支払う余裕がある可能性が高いという考えから生じているのかもしれないし、あるいは、それらの企業が保有するデータがより機密性が高く、価値があるとみなされているからかもしれない。

^ソース^SOCRadar

8ベースの犠牲者

現在までに356人以上の被害者が8Baseの悪質な作戦の餌食になっている。

^ソース^{ランサムウェア.ライブ}

攻撃方法

8ベースの攻撃方法

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

8Baseのハッカーは、フィッシングキャンペーンを展開してペイロードを隠蔽したり、Angry IP Scannerのようなツールを利用して脆弱なリモート・デスクトップ・プロトコル（RDP）ポートを特定して悪用したりすることで、攻撃を開始することがよくあります。

ブルートフォース（総当たり）攻撃を用いて、公開されているRDPサービスにアクセスし、その後、被害者のプロファイルを調査し、標的となるIPとの接続を確立する。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

8Baseは、トークンのなりすましや窃盗を実行することで、侵害されたシステムの制御を進めます。

このテクニックでは、DuplicateToken()関数でシステム・トークンを操作し、攻撃者が目立たないように特権を昇格させる。

この重要なステップによって、彼らは直ちに発見されることなく、システムのより機密性の高い領域にアクセスできるようになる。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

ステルス性を維持し、セキュリティ防御による検知を回避するために、8Baseはいくつかの重要な戦略を採用している。

彼らは様々なプロセスを終了させ、MS Officeのような一般的に使用されているアプリケーションとセキュリティ・ソフトウェアの両方をターゲットにし、悪意のある活動にとってより脆弱な環境を作り出す。

さらに、悪意のあるファイルを難読化するためにソフトウェア・パッキングを利用し、特にPhobosランサムウェアをメモリにパッキングすることで、セキュリティ・ツールがmalware を識別してブロックすることを難しくしています。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

発見フェーズでは、8BaseはWNetEnumResource()関数を使用してネットワーク共有の発見を行い、ネットワークリソースを几帳面にクロールします。

これにより、貴重なターゲットを特定し、ネットワークの構造を理解することができ、より効果的な横の動きとデータ収集が容易になる。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

一連のファイルが秘密のチャネルを通じてコンピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

影響段階は、8Baseの行動が被害者に大きな混乱をもたらすまでに至る段階です。

シャドウコピーやバックアップカタログの削除、システム修復を妨げるブート設定の変更など、システム復旧を阻害するコマンドを実行する。

これらの行為は、ファイルをロックするためのAES暗号化の使用と相まって、データ復旧を困難にするだけでなく、被害者が身代金要求に応じる圧力を高める。

この段階は、8Baseが単にシステムに侵入し、ナビゲートするだけでなく、影響を受けた組織に永続的な影響を残す能力を実証している。

初期アクセス

8Baseのハッカーは、フィッシングキャンペーンを展開してペイロードを隠蔽したり、Angry IP Scannerのようなツールを利用して脆弱なリモート・デスクトップ・プロトコル（RDP）ポートを特定して悪用したりすることで、攻撃を開始することがよくあります。

ブルートフォース（総当たり）攻撃を用いて、公開されているRDPサービスにアクセスし、その後、被害者のプロファイルを調査し、標的となるIPとの接続を確立する。

特権エスカレーション

8Baseは、トークンのなりすましや窃盗を実行することで、侵害されたシステムの制御を進めます。

このテクニックでは、DuplicateToken()関数でシステム・トークンを操作し、攻撃者が目立たないように特権を昇格させる。

この重要なステップによって、彼らは直ちに発見されることなく、システムのより機密性の高い領域にアクセスできるようになる。

防御回避

ステルス性を維持し、セキュリティ防御による検知を回避するために、8Baseはいくつかの重要な戦略を採用している。

彼らは様々なプロセスを終了させ、MS Officeのような一般的に使用されているアプリケーションとセキュリティ・ソフトウェアの両方をターゲットにし、悪意のある活動にとってより脆弱な環境を作り出す。

さらに、悪意のあるファイルを難読化するためにソフトウェア・パッキングを利用し、特にPhobosランサムウェアをメモリにパッキングすることで、セキュリティ・ツールがmalware を識別してブロックすることを難しくしています。

クレデンシャル・アクセス

ディスカバリー

発見フェーズでは、8BaseはWNetEnumResource()関数を使用してネットワーク共有の発見を行い、ネットワークリソースを几帳面にクロールします。

これにより、貴重なターゲットを特定し、ネットワークの構造を理解することができ、より効果的な横の動きとデータ収集が容易になる。

横の動き

コレクション

実行

データ流出

インパクト

影響段階は、8Baseの行動が被害者に大きな混乱をもたらすまでに至る段階です。

シャドウコピーやバックアップカタログの削除、システム修復を妨げるブート設定の変更など、システム復旧を阻害するコマンドを実行する。

これらの行為は、ファイルをロックするためのAES暗号化の使用と相まって、データ復旧を困難にするだけでなく、被害者が身代金要求に応じる圧力を高める。

この段階は、8Baseが単にシステムに侵入し、ナビゲートするだけでなく、影響を受けた組織に永続的な影響を残す能力を実証している。

MITRE ATT&CK マッピング

8ベースが使用したTTP

TA0001: Initial Access

T1566

Phishing

T1133

External Remote Services

TA0002: Execution

T1129

Shared Modules

T1059

Command and Scripting Interpreter

TA0003: Persistence

T1547

Boot or Logon Autostart Execution

T1053

Scheduled Task/Job

TA0004: Privilege Escalation

T1547

Boot or Logon Autostart Execution

T1053

Scheduled Task/Job

TA0005: Defense Evasion

T1497

Virtualization/Sandbox Evasion

T1222

File and Directory Permissions Modification

T1202

Indirect Command Execution

T1112

Modify Registry

T1036

Masquerading

T1070

Indicator Removal

T1564

Hide Artifacts

T1562

Impair Defenses

TA0006: Credential Access

T1056

Input Capture

T1003

OS Credential Dumping

TA0007: Discovery

T1497

Virtualization/Sandbox Evasion

T1518

Software Discovery

T1083

File and Directory Discovery

T1082

System Information Discovery

T1057

Process Discovery

TA0008: Lateral Movement

T1080

Taint Shared Content

TA0009: Collection

T1560

Archive Collected Data

T1074

Data Staged

T1005

Data from Local System

TA0011: Command and Control

T1071

Application Layer Protocol

TA0010: Exfiltration

T1041

Exfiltration Over C2 Channel

TA0040: Impact

T1490

Inhibit System Recovery

T1485

Data Destruction

プラットフォーム検出

Vectra AIを使った検知 8Baseの方法

ランサムウェア攻撃を示すVectra AI Platform で利用可能な検出のリスト。

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

攻撃の危険性を評価する

よくあるご質問(FAQ)

8ベースとは何ですか？

8Baseは、攻撃的な恐喝戦術で知られるランサムウェア・グループで、主に様々な分野の中小企業を標的としている。

特権の昇格、防御回避、データの暗号化を含む高度な攻撃チェーンを用いて、被害者から身代金を強奪する。

8Baseはどのようにしてネットワークにアクセスするのですか？

8Baseは通常、フィッシングメールやエクスプロイトキットを介して最初のアクセスを獲得し、これらのベクターを使用してランサムウェアを展開したり、標的のシステムの足掛かりを得たりする。

8ベース攻撃で最も危険なのはどの分野か？

8Baseは、ビジネスサービス、金融、製造、情報技術セクターの企業を好んで攻撃しているが、これはおそらく、そのデータの機密性の高さと、より大きな身代金を支払う能力があると思われるためである。

8Baseは特権の昇格にどのようなテクニックを使っていますか？

8Baseは、トークンのなりすましと窃取を使用して特権の昇格を行い、侵害されたシステム内でより高いアクセス・レベルを得るためにシステム・トークンを操作します。

8Baseはどのようにして検知や防御機構を回避するのか？

8Baseは、従来のセキュリティ・ツールによる検出を回避するために、セキュリティ関連のプロセスを終了させたり、ソフトウェア・パッキングによって悪意のあるファイルを難読化したりするなどのテクニックを採用している。

‍

8Baseの侵入に対して、組織はどのように検知、対応すればよいのだろうか？

組織は、8Baseのようなグループに特徴的なランサムウェアの活動をリアルタイムで分析・検知するAI主導の脅威検知プラットフォームを導入することで、検知およびレスポンス機能を強化することができます。

8Baseは危険な組織にどのような影響を与えるのか？

8Baseの影響には、機密ファイルの暗号化、システム復旧作業の阻害、潜在的なデータ流出が含まれ、業務の中断、経済的損失、風評被害につながります。

8Baseランサムウェア攻撃に対する効果的な予防策とは？

効果的な対策としては、データの定期的なバックアップ、フィッシングへの認識に関する従業員トレーニング、脆弱性へのタイムリーなパッチ適用、ランサムウェアの活動を検知し軽減することができる高度なセキュリティソリューションの導入などが挙げられる。

8Baseは他のランサムウェアのグループや活動にリンクしていますか？

8Baseは、RansomHouseのような他のランサムウェアグループと関係があるか、あるいはそこから発展した可能性があると推測されている。

サイバーセキュリティの専門家は、8Baseのインシデントを調査するためにどのようなツールや戦略を利用できるのか？

サイバーセキュリティの専門家は、フォレンジック分析ツール、脅威インテリジェンスプラットフォーム、AI主導のセキュリティソリューションを活用して、インシデントを調査し、攻撃ベクトルを明らかにし、8Base の活動に関連する侵害の指標（IOC）を特定することができます。