Ransomware 8base: hackers aumentam ataques de dupla extorsão nos últimos meses e utilizam criptografia para vazamento de dados

Por Caique Barqueta: O grupo de ransomware 8base teve a sua primeira notoriedade no início de março de 2022, permanecendo relativamente quieto após poucos ataques. Eles atuam como os demais grupos de ransomwares, por meio de extorsões duplas (criptografia + vazamento de dados).

Em meados de maio e junho de 2023, a operação teve um pico de atividade contra organizações de vários setores listando, até o momento, 107 organizações, anunciando por vezes até 6 organizações por dia.

O site de vazamento de dados da 8base foi publicado em maio de 2023, alegando serem “honestos e simples”, adicionando ainda que “Somos pentesters honestos e simples. Oferecemos às empresas as condições mais leais para a devolução de seus dados”.

Figura 1 – Página principal 8base

Adicionam ainda que “as vulnerabilidades atuais nunca serão usadas pela equipe para mais ataques. Caso novas vulnerabilidades sejam descobertas, a empresa será notificada”.

Figura 2 – Regras apresentadas pelo 8base

Além do blog, o grupo de Ransomware possui um perfil no Twitter.

Figura 3 – Perfil no Twitter do grupo 8base

Suspeitas e análises identificadas

A equipe da VMware publicou um relatório afirmando que o Ransomware 8Base possuía certas semelhanças significativas grupo de ransomware RansomHouse.

A primeira semelhança notada seria a comparação da nota de resgate utilizando o modelo de processamento de linguagem neural Doc2Vec. Durante a análise, a nota de resgate do 8base teve uma correspondência de 99% com a nota de resgate da RansomHouse.

Figura 4 – Notas de resgates identificadas

Além disso, o blog utilizado por ambos os grupos de ransomwares aparentam ser idênticas.

Figura 5 – Comparação do blog de ransomware

E não só a página principal do blog, mas como também os “Terms of Service” publicados por ambos os grupos.

Figura 6 – Termos de Serviços ou “Regras” dos operadores RansomHouse
Figura 7 – Termos ou Serviços ou “Regras” dos operadores 8base
Figura 8 – Comparação do FAQ no blog de ransomwares

Existindo também algumas certas diferenças, como a primeira a questão de recrutamento ou parcerias, na qual a RansomHouse apresenta que está em parceria com outros agentes, enquanto o 8base não.

Além disso, a página de vazamento de dados dos ransomwares são distintos.

A análise realizada pela VMware identificou que uma amostra do ransomware utilizado pelo Ransomware 8Base, foi identificada uma amostra do Ransomware Phobos com a extensão de arquivo “.8base” em arquivos criptografados. Um dos pontos que levaram aos pesquisadores é que o ransomware 8base estaria utilizando variedades e ransomwares para atingir suas vítimas, sendo que na análise realizada foi verificada que estariam utilizando o Ransomware Phobos versão 2.9.1 com SmokeLoader para ofuscação inicial na entrada, descompactação e carregamento do ransomware.  

Como o ransomware Phobos está disponível no formato Ransomware-as-a-Service (RaaS), os atores podem personalizar as peças de acordo com suas necessidades de acordo com a nota de resgate.

A diferença das notas de resgates foi que o Ransomware Phobos acrescenta instruções do Jabber e a palavra “phobos” no canto superior da janela, enquanto o 8base tem escrito apenas “cartilage” no canto superior e não há instrução Jabber.

Figura 9 – Nota de resgate em HTA apresentado pelo Ransomware 8base
Figura 10 – Nota de resgate em HTA apresentado pelo Ransomware Phobos

Embora o ransomware 8base teria adicionado a sua própria personalização de marca anexando “.8base” aos arquivos criptografados, o formato de toda a parte anexada era o mesmo do Phobos, que incluía uma seção de ID, um endereço de e-mail e a extensão do arquivo.

Segundo a conclusão da VMware, é que o ransomware 8base estaria utilizando vários tipos diferentes de ransomwares, não havendo a confirmação se o 8base é uma variante ou parte do grupo do ransomware Phobos ou RansomHouse, mas que com toda a certeza utiliza ransomwares diversos e é considerado um dos ransomwares mais ativos do primeiro semestre de 2023.

Análise técnica do ransomware

Nossa equipe de inteligência, o Heimdall, identificou uma amostra do ransomware 8base com assinatura (SHA-256: 2288a0c896757647538a7dab5e0c980b70b173ed36c9e6206f6701dfd4112cfb). Em consulta ao Vírus Total, foi possível identificar que a amostra é considerada potencialmente maliciosa por 53 de 70 soluções de segurança, bem como apresentando algumas características de famílias de ransomwares, dentre as quais é possível identificar ser uma variante da família de Ransomware Phobos.

Figura 11 – Amostra identificada como maliciosa de 53 de 70

Esta amostra fora compilada em 31/05/2022, às 05:01:04 UTC utilizando o compilador Microsoft Visual C/C++ com a arquitetura de 32 bits.

Figura 12 – Informações do cabeçalho PE

Nota-se que o ransomware 8base estaria utilizando uma amostra de 2022 como ataque para as organizações. Também foi observado que o ransomware não possui uma alta taxa de entropia, permanecendo na faixa de 6.0.

Figura 13 – Entropia do ransomware utilizado pelo 8base

Para a execução, o ransomware exigiu que fosse realizada a autorização por parte do usuário por meio do UAC (User Account Control), ou seja, havendo a necessidade de privilégios para realizar a sua rotina normal de criptografia dos dados.

Ao ser executado o ransomware chama um subprocesso o qual é responsável por criar dois outros processos, neste caso vamos apresentar a árvore de processos que o ransomware chama.

Figura 14 – Árvores de processos envolvidos com o Ransomware 8base

PID: 7612

Utilização do comando:

\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1

PID: 6032

Utilização do comando:

vssadmin delete shadows /all /quiet

Este comando corresponde a exclusão de todas as cópias de sombra (shadow copies) existentes em um sistema Windows. Portanto, o comando se refere a:

  • vssadmin: utilitário de linha de comando do Windows usado para gerenciar as cópias de sombras (shadow copies) criadas pelo VSS;
  • delete shadows: indica que quer realizar a exclusão das cópias de sombras;
  • /all: Especifica que todas as cópias de sombra devem ser excluídas;
  • /quiet: Define o modo silencioso, ou seja, não exibirá mensagens ou confirmações durante o processo de exclusão.

PID:184

Utilização do WMIC (Windows Management Instrumentation Command-Line) para exclusão das cópias de sombras do Windows.

wmic shadowcopy delete

PID: 10036

Utilizou a ferramenta bcdedit do Windows para modificar a configuração da inicialização do Windows relacionado às falhas de inicialização pelo comando:

bcdedit /set{default} bootstatuspolicy ignoreallfailures

PID: 5404

Utilizando a ferramenta bcdedit do Windows para desabilitar a opção de recuperação automática do Windows. Caso seja utilizado essa configuração como a opção “no”, o Windows não iniciará automaticamente o ambiente de recuperação ao encontrar erros críticos durante a inicialização.

bcdedit /set{default} recoveryenabled no

PID:1296

Utilizando a ferramenta wbadmin para exclusão do catálogo de backup do Windows Server Backup em um sistema Windows utilizando o modo silencioso.

wbadmin delete catalog -quiet

Na sequência, o PID 9000 é criado pelo processo PID9428, o qual realizou a criação de outros processos no sistema, como:

PID:4412

Utilizando o conhost.exe, através do comando, forçando a execução com o valor 1 e a opção de force.

\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1

PID:7564

O comando que deu início o processo de PID7564 trata-se de um comando utilizado para desativar o firewall do Windows para o perfil de rede atualmente em uso. De modo geral, isso acaba por desligar o firewall para o perfil de rede específico que está atualmente ativo, como o público, particular ou de domínio.

Este comando requer a utilização de privilégios para ser executado com sucesso.

netsh advfirewall set currentprofile state off

PID: 4116

Utiliza o comando abaixo para desativar completamente o Firewall do Windows, porém este comando se aplica a versões mais antigas do Windows, como o Windows XP e o Windows Server 2003.

netsh firewall set opmode mode=disable

O referido ransomware realiza a execução das rotinas dos processos citados anteriormente duas vezes, provavelmente no sentido de garantir que todos os comandos foram executados corretamente.

O ransomware utiliza o “WerFault.exe” utilizando os parâmetros -u -p 3740 -s 952. Este executável é associado ao mecanismo de relatório de erros do Windows, ou seja, ele possui o objetivo de capturar e relatar informações sobre erros e falhas que ocorrem no sistema operacional, já utilizando tais parâmetros podemos afirmar que deve ser executado em modo de usuário (-u), indica o processo que a ferramenta deve monitorar (-p 3740) e indica o ID da sessão em que o processo está sendo executado (-s 952).

C:\Windows\SysWOW64\WerFault.exe -u -p 3740 -s 952

O ransomware executa seu processo de criptografia utilizando o algoritmo de criptografia AES e, após o término, adiciona a extensão arquivo.id[12 palavras aleatórias].[support@rexsdata.pro].[8base] ao final de cada arquivo, bem como despeja a nota de resgate nos diretórios que realizou a criptografia.

Figura 15 – Arquivo info.txt criado nos diretórios

Apresentando ainda a nota de resgate em formato HTA no referido sistema por meio da criação de 3 processos.

Figura 16 – Nota de resgate em HTA apresentada da amostra analisada

TTPs – MITRE ATT&CK, Indicadores de Comprometimento (IoC) e recomendações

TáticaTécnicaID
Execution TA0002Scheduled Task/JobT1053
Command and Scripting InterpreterT1059
Shared ModulesT1129
Persistence TA0003Scheduled Task/JobT1053
Boot or Logon Autostart ExecutionT1547
Registry Run Keys/ Startup FolderT1547.001
Privilege Escalation TA0004Scheduled Task/JobT1053
Boot or Logon Autostart ExecutionT1547
Registry Run Keys / Startup FilesT1547.001
Token Impersonation/TheftT1134.001
Defense Evasion TA0005Obfuscated Files or InformationT1027
Modify RegistryT1112
Indirect Command ExecutionT1202
Software PackingT1027.002
MasqueradingT1036
Hidden Files and DirectoriesT1564.001
File DeletionT1070.004
Virtualization/Sandbox EvasionT1497
Disable or Modify ToolsT1562.001
Disable or Modify ToolsT1562.001
Hidden Files and DirectoriesT1564.001
Credential Access TA0006OS Credential DumpingT1003
Input CaptureT1056
Discovery TA0007Process DiscoveryT1057
Network Share DiscoveryT1135
System Information DiscoveryT1082
File and Directory DiscoveryT1083
Virtualization/Sandbox EvasionT1497
Security Software DiscoveryT1518.001
Lateral Movement TA0008Taint Shared ContentT1080
Collection TA0009Data from Local SystemT1005
Data StagedT1074
Input CaptureT1056
Impact TA0040Inhibit System RecoveryT1490
Data Encrypted for ImpactT1486
Data DestructionT1485
Tabela 1 – MITRE ATT&CK

A ISH Tecnologia realiza o tratamento de diversos indicadores de comprometimento coletados por meio de fontes abertas, fechadas e também de análises realizadas pela equipe de segurança Heimdall. Diante disto, abaixo listamos todos os Indicadores de Compromissos (IOCs) relacionadas a análise do(s) artefato(s) deste relatório:

Indicadores de comprometimento de artefato analisado
md5:0f281d2506515a64082d6e774573afb7
sha1:8949f27465913bf475fceb5796b205429083df58
sha256:2288a0c896757647538a7dab5e0c980b70b173ed36c9e6206f6701dfd4112cfb
File name:mtx777.exe
Tabela 2 – IoCs relacionados a amostra analisada

Indicadores de comprotimento de artefato analisado
md5:2809e15a3a54484e042fe65fffd17409
sha1:4a8f0331abaf8f629b3c8220f0d55339cfa30223
sha256:518544e56e8ccee401ffa1b0a01a10ce23e49ec21ec441c6c7c3951b01c1b19c
File name:mtx777.exe
Tabela 3 – IoCs relacionados a amostra realizada pela VMware

20110ff550a2290c5992a5bb6bb44056
3d2b088a397e9c7e9ad130e178f885feebd9688b
e142f4e8eb3fb4323fb377138f53db66e3e6ec9e82930f4b23dd91a5f7bd45d0
5d0f447f4ccc89d7d79c0565372195240cdfa25f
9769c181ecef69544bbb2f974b8c0e10
c6bd5b8e14551eb899bbe4decb6942581d28b2a42b159146bbc28316e6e14a64
518544e56e8ccee401ffa1b0a01a10ce23e49ec21ec441c6c7c3951b01c1b19c
afddec37cdc1d196a1136e2252e925c0dcfe587963069d78775e0f174ae9cfe3
Tabela 4 – IoCs relacionadas a amostra analisada pela VMware

URLs de distribuição e endereços IP C2:

wlaexfpxrs[.]org
admhexlogs25[.]xyz
admlogs25[.]xyz
admlog2[.]xyz
dnm777[.]xyz
serverlogs37[.]xyz
9f1a.exe
d6ff.exe
3c1e.exe
dexblog[.]xyz
blogstat355[.]xyz
blogstatserv25[.]xyz
Tabela 5 – IoCs relacionadas a entrega e C2 8base

Obs: Os links e endereços IP elencados acima podem estar ativos; cuidado ao realizar a manipulação dos referidos IoCs, evite realizar o clique e se tornar vítima do conteúdo malicioso hospedado no IoC.

Além dos indicadores elencados acima, poderão ser adotadas medidas visando a mitigação da infecção do referido malware, como por exemplo:

  • Realização de backups regulares: armazene cópias de segurança de todos os dados importantes em um local seguro e desconectado.
  • Realização de atualizações de softwares: mantenha todos os softwares de ativos atualizados, incluindo sistemas operacionais e aplicativos.
  • Utilização de proteção de rede, como firewalls, antivírus e outras medidas de segurança para proteger sua rede.
  • Realização do trabalho de conscientização com os colaboradores, ensinando aos mesmos a reconhecer e evitar ameaças, como phishing e/ou clicar em links maliciosos.
  • Monitoração regular da sua rede e sistemas para identificar e responder rapidamente a qualquer atividade suspeita.
  • Criação e aplicação de um plano de resposta de incidentes, sendo que em caso de ataques de ransomware poderão ser utilizados e conterão informações como questões relacionadas a backups e recuperação de sistema.

Referências

  • Heimdall by ISH Tecnologia
  • Relatório VMware: Ransomware 8Base