Por Caique Barqueta: O grupo de ransomware 8base teve a sua primeira notoriedade no início de março de 2022, permanecendo relativamente quieto após poucos ataques. Eles atuam como os demais grupos de ransomwares, por meio de extorsões duplas (criptografia + vazamento de dados).
Em meados de maio e junho de 2023, a operação teve um pico de atividade contra organizações de vários setores listando, até o momento, 107 organizações, anunciando por vezes até 6 organizações por dia.
O site de vazamento de dados da 8base foi publicado em maio de 2023, alegando serem “honestos e simples”, adicionando ainda que “Somos pentesters honestos e simples. Oferecemos às empresas as condições mais leais para a devolução de seus dados”.
Adicionam ainda que “as vulnerabilidades atuais nunca serão usadas pela equipe para mais ataques. Caso novas vulnerabilidades sejam descobertas, a empresa será notificada”.
Além do blog, o grupo de Ransomware possui um perfil no Twitter.
Suspeitas e análises identificadas
A equipe da VMware publicou um relatório afirmando que o Ransomware 8Base possuía certas semelhanças significativas grupo de ransomware RansomHouse.
A primeira semelhança notada seria a comparação da nota de resgate utilizando o modelo de processamento de linguagem neural Doc2Vec. Durante a análise, a nota de resgate do 8base teve uma correspondência de 99% com a nota de resgate da RansomHouse.
Além disso, o blog utilizado por ambos os grupos de ransomwares aparentam ser idênticas.
E não só a página principal do blog, mas como também os “Terms of Service” publicados por ambos os grupos.
Existindo também algumas certas diferenças, como a primeira a questão de recrutamento ou parcerias, na qual a RansomHouse apresenta que está em parceria com outros agentes, enquanto o 8base não.
Além disso, a página de vazamento de dados dos ransomwares são distintos.
A análise realizada pela VMware identificou que uma amostra do ransomware utilizado pelo Ransomware 8Base, foi identificada uma amostra do Ransomware Phobos com a extensão de arquivo “.8base” em arquivos criptografados. Um dos pontos que levaram aos pesquisadores é que o ransomware 8base estaria utilizando variedades e ransomwares para atingir suas vítimas, sendo que na análise realizada foi verificada que estariam utilizando o Ransomware Phobos versão 2.9.1 com SmokeLoader para ofuscação inicial na entrada, descompactação e carregamento do ransomware.
Como o ransomware Phobos está disponível no formato Ransomware-as-a-Service (RaaS), os atores podem personalizar as peças de acordo com suas necessidades de acordo com a nota de resgate.
A diferença das notas de resgates foi que o Ransomware Phobos acrescenta instruções do Jabber e a palavra “phobos” no canto superior da janela, enquanto o 8base tem escrito apenas “cartilage” no canto superior e não há instrução Jabber.
Embora o ransomware 8base teria adicionado a sua própria personalização de marca anexando “.8base” aos arquivos criptografados, o formato de toda a parte anexada era o mesmo do Phobos, que incluía uma seção de ID, um endereço de e-mail e a extensão do arquivo.
Segundo a conclusão da VMware, é que o ransomware 8base estaria utilizando vários tipos diferentes de ransomwares, não havendo a confirmação se o 8base é uma variante ou parte do grupo do ransomware Phobos ou RansomHouse, mas que com toda a certeza utiliza ransomwares diversos e é considerado um dos ransomwares mais ativos do primeiro semestre de 2023.
Análise técnica do ransomware
Nossa equipe de inteligência, o Heimdall, identificou uma amostra do ransomware 8base com assinatura (SHA-256: 2288a0c896757647538a7dab5e0c980b70b173ed36c9e6206f6701dfd4112cfb). Em consulta ao Vírus Total, foi possível identificar que a amostra é considerada potencialmente maliciosa por 53 de 70 soluções de segurança, bem como apresentando algumas características de famílias de ransomwares, dentre as quais é possível identificar ser uma variante da família de Ransomware Phobos.
Esta amostra fora compilada em 31/05/2022, às 05:01:04 UTC utilizando o compilador Microsoft Visual C/C++ com a arquitetura de 32 bits.
Nota-se que o ransomware 8base estaria utilizando uma amostra de 2022 como ataque para as organizações. Também foi observado que o ransomware não possui uma alta taxa de entropia, permanecendo na faixa de 6.0.
Para a execução, o ransomware exigiu que fosse realizada a autorização por parte do usuário por meio do UAC (User Account Control), ou seja, havendo a necessidade de privilégios para realizar a sua rotina normal de criptografia dos dados.
Ao ser executado o ransomware chama um subprocesso o qual é responsável por criar dois outros processos, neste caso vamos apresentar a árvore de processos que o ransomware chama.
PID: 7612
Utilização do comando:
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
PID: 6032
Utilização do comando:
vssadmin delete shadows /all /quiet
Este comando corresponde a exclusão de todas as cópias de sombra (shadow copies) existentes em um sistema Windows. Portanto, o comando se refere a:
- vssadmin: utilitário de linha de comando do Windows usado para gerenciar as cópias de sombras (shadow copies) criadas pelo VSS;
- delete shadows: indica que quer realizar a exclusão das cópias de sombras;
- /all: Especifica que todas as cópias de sombra devem ser excluídas;
- /quiet: Define o modo silencioso, ou seja, não exibirá mensagens ou confirmações durante o processo de exclusão.
PID:184
Utilização do WMIC (Windows Management Instrumentation Command-Line) para exclusão das cópias de sombras do Windows.
wmic shadowcopy delete
PID: 10036
Utilizou a ferramenta bcdedit do Windows para modificar a configuração da inicialização do Windows relacionado às falhas de inicialização pelo comando:
bcdedit /set{default} bootstatuspolicy ignoreallfailures
PID: 5404
Utilizando a ferramenta bcdedit do Windows para desabilitar a opção de recuperação automática do Windows. Caso seja utilizado essa configuração como a opção “no”, o Windows não iniciará automaticamente o ambiente de recuperação ao encontrar erros críticos durante a inicialização.
bcdedit /set{default} recoveryenabled no
PID:1296
Utilizando a ferramenta wbadmin para exclusão do catálogo de backup do Windows Server Backup em um sistema Windows utilizando o modo silencioso.
wbadmin delete catalog -quiet
Na sequência, o PID 9000 é criado pelo processo PID9428, o qual realizou a criação de outros processos no sistema, como:
PID:4412
Utilizando o conhost.exe, através do comando, forçando a execução com o valor 1 e a opção de force.
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
PID:7564
O comando que deu início o processo de PID7564 trata-se de um comando utilizado para desativar o firewall do Windows para o perfil de rede atualmente em uso. De modo geral, isso acaba por desligar o firewall para o perfil de rede específico que está atualmente ativo, como o público, particular ou de domínio.
Este comando requer a utilização de privilégios para ser executado com sucesso.
netsh advfirewall set currentprofile state off
PID: 4116
Utiliza o comando abaixo para desativar completamente o Firewall do Windows, porém este comando se aplica a versões mais antigas do Windows, como o Windows XP e o Windows Server 2003.
netsh firewall set opmode mode=disable
O referido ransomware realiza a execução das rotinas dos processos citados anteriormente duas vezes, provavelmente no sentido de garantir que todos os comandos foram executados corretamente.
O ransomware utiliza o “WerFault.exe” utilizando os parâmetros -u -p 3740 -s 952. Este executável é associado ao mecanismo de relatório de erros do Windows, ou seja, ele possui o objetivo de capturar e relatar informações sobre erros e falhas que ocorrem no sistema operacional, já utilizando tais parâmetros podemos afirmar que deve ser executado em modo de usuário (-u), indica o processo que a ferramenta deve monitorar (-p 3740) e indica o ID da sessão em que o processo está sendo executado (-s 952).
C:\Windows\SysWOW64\WerFault.exe -u -p 3740 -s 952
O ransomware executa seu processo de criptografia utilizando o algoritmo de criptografia AES e, após o término, adiciona a extensão arquivo.id[12 palavras aleatórias].[support@rexsdata.pro].[8base] ao final de cada arquivo, bem como despeja a nota de resgate nos diretórios que realizou a criptografia.
Apresentando ainda a nota de resgate em formato HTA no referido sistema por meio da criação de 3 processos.
TTPs – MITRE ATT&CK, Indicadores de Comprometimento (IoC) e recomendações
| Tática | Técnica | ID |
| Execution TA0002 | Scheduled Task/Job | T1053 |
| Command and Scripting Interpreter | T1059 | |
| Shared Modules | T1129 | |
| Persistence TA0003 | Scheduled Task/Job | T1053 |
| Boot or Logon Autostart Execution | T1547 | |
| Registry Run Keys/ Startup Folder | T1547.001 | |
| Privilege Escalation TA0004 | Scheduled Task/Job | T1053 |
| Boot or Logon Autostart Execution | T1547 | |
| Registry Run Keys / Startup Files | T1547.001 | |
| Token Impersonation/Theft | T1134.001 | |
| Defense Evasion TA0005 | Obfuscated Files or Information | T1027 |
| Modify Registry | T1112 | |
| Indirect Command Execution | T1202 | |
| Software Packing | T1027.002 | |
| Masquerading | T1036 | |
| Hidden Files and Directories | T1564.001 | |
| File Deletion | T1070.004 | |
| Virtualization/Sandbox Evasion | T1497 | |
| Disable or Modify Tools | T1562.001 | |
| Disable or Modify Tools | T1562.001 | |
| Hidden Files and Directories | T1564.001 | |
| Credential Access TA0006 | OS Credential Dumping | T1003 |
| Input Capture | T1056 | |
| Discovery TA0007 | Process Discovery | T1057 |
| Network Share Discovery | T1135 | |
| System Information Discovery | T1082 | |
| File and Directory Discovery | T1083 | |
| Virtualization/Sandbox Evasion | T1497 | |
| Security Software Discovery | T1518.001 | |
| Lateral Movement TA0008 | Taint Shared Content | T1080 |
| Collection TA0009 | Data from Local System | T1005 |
| Data Staged | T1074 | |
| Input Capture | T1056 | |
| Impact TA0040 | Inhibit System Recovery | T1490 |
| Data Encrypted for Impact | T1486 | |
| Data Destruction | T1485 |
A ISH Tecnologia realiza o tratamento de diversos indicadores de comprometimento coletados por meio de fontes abertas, fechadas e também de análises realizadas pela equipe de segurança Heimdall. Diante disto, abaixo listamos todos os Indicadores de Compromissos (IOCs) relacionadas a análise do(s) artefato(s) deste relatório:
| Indicadores de comprometimento de artefato analisado | |
| md5: | 0f281d2506515a64082d6e774573afb7 |
| sha1: | 8949f27465913bf475fceb5796b205429083df58 |
| sha256: | 2288a0c896757647538a7dab5e0c980b70b173ed36c9e6206f6701dfd4112cfb |
| File name: | mtx777.exe |
| Indicadores de comprotimento de artefato analisado | |
| md5: | 2809e15a3a54484e042fe65fffd17409 |
| sha1: | 4a8f0331abaf8f629b3c8220f0d55339cfa30223 |
| sha256: | 518544e56e8ccee401ffa1b0a01a10ce23e49ec21ec441c6c7c3951b01c1b19c |
| File name: | mtx777.exe |
| 20110ff550a2290c5992a5bb6bb44056 |
| 3d2b088a397e9c7e9ad130e178f885feebd9688b |
| e142f4e8eb3fb4323fb377138f53db66e3e6ec9e82930f4b23dd91a5f7bd45d0 |
| 5d0f447f4ccc89d7d79c0565372195240cdfa25f |
| 9769c181ecef69544bbb2f974b8c0e10 |
| c6bd5b8e14551eb899bbe4decb6942581d28b2a42b159146bbc28316e6e14a64 |
| 518544e56e8ccee401ffa1b0a01a10ce23e49ec21ec441c6c7c3951b01c1b19c |
| afddec37cdc1d196a1136e2252e925c0dcfe587963069d78775e0f174ae9cfe3 |
URLs de distribuição e endereços IP C2:
| wlaexfpxrs[.]org |
| admhexlogs25[.]xyz |
| admlogs25[.]xyz |
| admlog2[.]xyz |
| dnm777[.]xyz |
| serverlogs37[.]xyz |
| 9f1a.exe |
| d6ff.exe |
| 3c1e.exe |
| dexblog[.]xyz |
| blogstat355[.]xyz |
| blogstatserv25[.]xyz |
Obs: Os links e endereços IP elencados acima podem estar ativos; cuidado ao realizar a manipulação dos referidos IoCs, evite realizar o clique e se tornar vítima do conteúdo malicioso hospedado no IoC.
Além dos indicadores elencados acima, poderão ser adotadas medidas visando a mitigação da infecção do referido malware, como por exemplo:
- Realização de backups regulares: armazene cópias de segurança de todos os dados importantes em um local seguro e desconectado.
- Realização de atualizações de softwares: mantenha todos os softwares de ativos atualizados, incluindo sistemas operacionais e aplicativos.
- Utilização de proteção de rede, como firewalls, antivírus e outras medidas de segurança para proteger sua rede.
- Realização do trabalho de conscientização com os colaboradores, ensinando aos mesmos a reconhecer e evitar ameaças, como phishing e/ou clicar em links maliciosos.
- Monitoração regular da sua rede e sistemas para identificar e responder rapidamente a qualquer atividade suspeita.
- Criação e aplicação de um plano de resposta de incidentes, sendo que em caso de ataques de ransomware poderão ser utilizados e conterão informações como questões relacionadas a backups e recuperação de sistema.
Referências
- Heimdall by ISH Tecnologia
- Relatório VMware: Ransomware 8Base