8base
Çifte şantaj taktiklerini ustaca kullanan ve Phobos gibi bilinen fidye yazılımlarının değiştirilmiş varyantlarını içeren bir repertuara sahip olan 8Base, acımasız ve gelişen stratejileriyle dünya çapında çok sayıda kuruluşu etkileyen önemli siber olaylar düzenlemiştir.
8Base'in Kökeni
Nisan 2022'de ortaya çıkan 8Base, kurbanlar üzerinde baskı kurmadaki etkinliği nedeniyle siber suçlular arasında ilgi gören bir yöntem olan çifte şantaj taktiklerini kullanmasıyla öne çıkıyor.
Grubun faaliyetlerinin, metodolojilerinin ve güdülerinin kökeni ve tüm yelpazesi büyük ölçüde gizemini korumaktadır.
Araştırmacılar, grubun şifrelenmiş dosyalara '.8base' eklemek için değiştirdikleri Phobos fidye yazılımı varyantını kullandığını tespit etti. Bazı siber güvenlik çevrelerinde 8Base'in altyapısının, başka bir kötü şöhretli fidye yazılımı operasyonundan sızdırılan Babuk builderaraç seti kullanılarak geliştirildiğine dair yaygın birinanış var.
Diğerleri bunun RansomHouse'un bir dalı olduğunu düşünüyor.
Hedefler
8Base'in Hedefleri
8Base tarafından hedeflenen ülkeler
8base çoğunlukla Amerika Birleşik Devletleri, Brezilya ve Birleşik Krallık merkezli şirketleri hedef aldı.
Kaynak SOCRadar
8Base Tarafından Hedeflenen Sektörler
8Base saldırılarını ağırlıklı olarak çeşitli sektörleri kapsayan küçük ve orta ölçekli işletmelere (KOBİ'ler) odaklamaktadır.
Grup, ticari hizmetler, finans, imalat ve bilgi teknolojileri gibi sektörlere özel bir ilgi göstermektedir.
Bu özel hedefleme, bu alanlardaki şirketlerin önemli fidye ödemelerini karşılama olasılığının daha yüksek olduğu inancından veya belki de sahip oldukları verilerin daha hassas veya değerli kabul edilmesinden kaynaklanıyor olabilir.
Kaynak SOCRadar
8Base Tarafından Hedeflenen Sektörler
8Base saldırılarını ağırlıklı olarak çeşitli sektörleri kapsayan küçük ve orta ölçekli işletmelere (KOBİ'ler) odaklamaktadır.
Grup, ticari hizmetler, finans, imalat ve bilgi teknolojileri gibi sektörlere özel bir ilgi göstermektedir.
Bu özel hedefleme, bu alanlardaki şirketlerin önemli fidye ödemelerini karşılama olasılığının daha yüksek olduğu inancından veya belki de sahip oldukları verilerin daha hassas veya değerli kabul edilmesinden kaynaklanıyor olabilir.
Kaynak SOCRadar
8Base'in Kurbanları
Bugüne kadar 356'dan fazla kurban 8Base'in kötü niyetli faaliyetlerinin kurbanı oldu.
Kaynak: Ransomware.live
Saldırı Yöntemi
8Base'in Saldırı Yöntemi
8Base bilgisayar korsanları saldırılarını genellikle phishing kampanyalarını kullanarak gizli yükler göndererek ya da Angry IP Scanner gibi araçları kullanarak savunmasız Uzak Masaüstü Protokolü (RDP) bağlantı noktalarını tespit edip bunlardan faydalanarak başlatmaktadır.
Açıkta kalan RDP hizmetlerine erişmek için kaba kuvvet saldırıları kullanırlar, daha sonra kurbanlarının profilini çıkarmak ve hedeflenen IP'lerle bağlantı kurmak için araştırma yaparlar.
8Base, token kim liğine bürünme ve hırsızlığı gerçekleştirerek ele geçirilmiş sistemler üzerindeki kontrolünü geliştirir.
Bu teknik, DuplicateToken() işleviyle sistem belirteçlerini manipüle etmeyi içerir ve saldırganların ayrıcalıklarını gizlice yükseltmelerine olanak tanır.
Bu kritik adım, sistemin daha hassas alanlarına anında tespit edilmeden erişebilmelerini sağlar.
Gizliliği korumak ve güvenlik savunmaları tarafından tespit edilmekten kaçınmak için 8Base birkaç temel strateji kullanır.
Kötü niyetli faaliyetleri için daha savunmasız bir ortam yaratmak amacıyla hem MS Office gibi yaygın olarak kullanılan uygulamaları hem de güvenlik yazılımlarını hedef alarak çeşitli işlemleri sonlandırırlar.
Ayrıca, kötü amaçlı dosyaları gizlemek için yazılım paketlemesini kullanırlar, özellikle Phobos fidye yazılımını belleğe paketleyerek güvenlik araçlarının malware'u tanımlamasını ve engellemesini zorlaştırırlar.
Keşif aşamasında 8Base, ağ kaynaklarını metodik olarak taramak için WNetEnumResource() işlevini kullanarak ağ paylaşımı keşfi gerçekleştirir.
Bu, değerli hedefleri belirlemelerine ve ağın yapısını anlamalarına olanak tanıyarak daha etkili yanal hareket ve veri toplamayı kolaylaştırır.
Etki aşaması, 8Base'in eylemlerinin mağdur için önemli bir yıkımla sonuçlandığı yerdir.
Gölge kopyaları, yedekleme kataloglarını silme ve sistem onarımlarını önlemek için önyükleme yapılandırmalarını değiştirme dahil olmak üzere sistem kurtarmayı engelleyen komutlar yürütürler.
Bu eylemler, dosyaları kilitlemek için AES şifrelemenin kullanılmasıyla birleştiğinde, yalnızca veri kurtarmayı zorlaştırmakla kalmaz, aynı zamanda fidye taleplerine uymaları için kurbanlar üzerindeki baskıyı da artırır.
Bu aşama, 8Base'in sadece sistemlere sızma ve sistemlerde gezinme değil, aynı zamanda etkilenen kuruluşlar üzerinde kalıcı bir etki bırakma yeteneğini de göstermektedir.
İlk Erişim
8Base bilgisayar korsanları saldırılarını genellikle phishing kampanyalarını kullanarak gizli yükler göndererek ya da Angry IP Scanner gibi araçları kullanarak savunmasız Uzak Masaüstü Protokolü (RDP) bağlantı noktalarını tespit edip bunlardan faydalanarak başlatmaktadır.
Açıkta kalan RDP hizmetlerine erişmek için kaba kuvvet saldırıları kullanırlar, daha sonra kurbanlarının profilini çıkarmak ve hedeflenen IP'lerle bağlantı kurmak için araştırma yaparlar.
Ayrıcalık Yükseltme
8Base, token kim liğine bürünme ve hırsızlığı gerçekleştirerek ele geçirilmiş sistemler üzerindeki kontrolünü geliştirir.
Bu teknik, DuplicateToken() işleviyle sistem belirteçlerini manipüle etmeyi içerir ve saldırganların ayrıcalıklarını gizlice yükseltmelerine olanak tanır.
Bu kritik adım, sistemin daha hassas alanlarına anında tespit edilmeden erişebilmelerini sağlar.
Savunma Kaçırma
Gizliliği korumak ve güvenlik savunmaları tarafından tespit edilmekten kaçınmak için 8Base birkaç temel strateji kullanır.
Kötü niyetli faaliyetleri için daha savunmasız bir ortam yaratmak amacıyla hem MS Office gibi yaygın olarak kullanılan uygulamaları hem de güvenlik yazılımlarını hedef alarak çeşitli işlemleri sonlandırırlar.
Ayrıca, kötü amaçlı dosyaları gizlemek için yazılım paketlemesini kullanırlar, özellikle Phobos fidye yazılımını belleğe paketleyerek güvenlik araçlarının malware'u tanımlamasını ve engellemesini zorlaştırırlar.
Kimlik Bilgileri Erişimi
Keşif
Keşif aşamasında 8Base, ağ kaynaklarını metodik olarak taramak için WNetEnumResource() işlevini kullanarak ağ paylaşımı keşfi gerçekleştirir.
Bu, değerli hedefleri belirlemelerine ve ağın yapısını anlamalarına olanak tanıyarak daha etkili yanal hareket ve veri toplamayı kolaylaştırır.
Yanal Hareket
Koleksiyon
Yürütme
Sızma
Etki
Etki aşaması, 8Base'in eylemlerinin mağdur için önemli bir yıkımla sonuçlandığı yerdir.
Gölge kopyaları, yedekleme kataloglarını silme ve sistem onarımlarını önlemek için önyükleme yapılandırmalarını değiştirme dahil olmak üzere sistem kurtarmayı engelleyen komutlar yürütürler.
Bu eylemler, dosyaları kilitlemek için AES şifrelemenin kullanılmasıyla birleştiğinde, yalnızca veri kurtarmayı zorlaştırmakla kalmaz, aynı zamanda fidye taleplerine uymaları için kurbanlar üzerindeki baskıyı da artırır.
Bu aşama, 8Base'in sadece sistemlere sızma ve sistemlerde gezinme değil, aynı zamanda etkilenen kuruluşlar üzerinde kalıcı bir etki bırakma yeteneğini de göstermektedir.
MITRE ATT&CK Haritalama
8Base tarafından kullanılan TTP'ler
TA0001: Initial Access
T1566
Phishing
T1133
External Remote Services
TA0002: Execution
T1129
Shared Modules
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1497
Virtualization/Sandbox Evasion
T1222
File and Directory Permissions Modification
T1202
Indirect Command Execution
T1112
Modify Registry
T1036
Masquerading
T1070
Indicator Removal
T1564
Hide Artifacts
T1562
Impair Defenses
TA0006: Credential Access
T1056
Input Capture
T1003
OS Credential Dumping
TA0007: Discovery
T1497
Virtualization/Sandbox Evasion
T1518
Software Discovery
T1083
File and Directory Discovery
T1082
System Information Discovery
T1057
Process Discovery
TA0008: Lateral Movement
T1080
Taint Shared Content
TA0009: Collection
T1560
Archive Collected Data
T1074
Data Staged
T1005
Data from Local System
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1490
Inhibit System Recovery
T1485
Data Destruction
Platform Tespitleri
8Base ile Nasıl Tespit Edilir Vectra AI
Vectra AI Platformunda bulunan ve bir fidye yazılımı saldırısına işaret edebilecek Tespitlerin listesi.
Sıkça Sorulan Sorular
8Base nedir ve nasıl çalışır?
8Base, agresif gasp taktikleriyle bilinen ve öncelikle çeşitli sektörlerdeki küçük ve orta ölçekli işletmeleri hedef alan bir fidye yazılımı grubudur.
Kurbanlarından fidye koparmak için ayrıcalık yükseltme, savunmadan kaçınma ve veri şifrelemeyi içeren sofistike bir saldırı zinciri kullanır.
8Base ağlara ilk erişimi nasıl elde ediyor?
8Base genellikle phishing e-postaları veya istismar kitleri aracılığıyla ilk erişimi elde eder ve fidye yazılımlarını dağıtmak veya hedeflenen sistemlerde yer edinmek için bu vektörleri kullanır.
8Base saldırılarından en çok hangi sektörler risk altında?
8Base, muhtemelen verilerinin hassas yapısı ve daha büyük fidyeler ödeyebilecekleri algısı nedeniyle iş hizmetleri, finans, imalat ve bilgi teknolojisi sektörlerindeki işletmelere saldırmayı tercih ettiğini göstermiştir.
8Base ayrıcalık yükseltme için hangi teknikleri kullanır?
8Base, ayrıcalık yükseltme için token taklidi ve hırsızlığı kullanır, güvenliği ihlal edilmiş sistemlerde daha yüksek erişim seviyeleri elde etmek için sistem token'larını manipüle eder.
8Base tespit ve savunma mekanizmalarından nasıl kaçıyor?
8Base, geleneksel güvenlik araçları tarafından tespit edilmekten kaçınmak için güvenlikle ilgili süreçleri sonlandırma ve yazılım paketleme yoluyla kötü amaçlı dosyaları gizleme gibi teknikler kullanır.
Kuruluşlar 8Base izinsiz girişlerini nasıl tespit edebilir ve bunlara nasıl yanıt verebilir?
Kuruluşlar, 8Base gibi grupların karakteristik fidye yazılımı faaliyetlerinin gerçek zamanlı analizini ve tespitini sağlayan yapay zeka odaklı bir tehdit tespit platformu uygulayarak tespit ve müdahale yeteneklerini geliştirebilirler.
8Base'in tehlike altındaki kuruluşlar üzerinde nasıl bir etkisi var?
8Base'in etkisi, hassas dosyaların şifrelenmesini, sistem kurtarma çabalarının engellenmesini ve potansiyel veri sızıntısını içerir ve operasyonel kesintiye, mali kayba ve itibar kaybına yol açar.
8Base fidye yazılımı saldırılarına karşı etkili önleyici tedbirler nelerdir?
Etkili önlemler arasında düzenli veri yedeklemeleri, phishing farkındalığı konusunda çalışan eğitimi, güvenlik açıklarının zamanında yamalanması ve fidye yazılımı faaliyetlerini tespit edip azaltabilen gelişmiş güvenlik çözümlerinin kullanılması yer almaktadır.
8Base başka fidye yazılımı grupları veya faaliyetleriyle bağlantılı olabilir mi?
Operasyonel taktiklerindeki ve sözlü iletişim tarzlarındaki benzerliklere dayanarak 8Base'in RansomHouse gibi diğer fidye yazılımı gruplarıyla bağları olabileceği veya onlardan evrimleşmiş olabileceği yönünde spekülasyonlar var.
Siber güvenlik uzmanları 8Base olaylarını araştırmak için hangi araçları veya stratejileri kullanabilir?
Siber güvenlik uzmanları, olayları araştırmak, saldırı vektörlerini ortaya çıkarmak ve 8Base faaliyetleriyle ilgili taviz (IOC'ler) göstergelerini belirlemek için adli analiz araçlarından, tehdit istihbarat platformlarından ve yapay zeka odaklı güvenlik çözümlerinden yararlanabilir.